ECF: anti-money laundering/terrorist financing legislation overburdens the not-for-profit sector

Geplaatst op 6 mei 2023 door Ellen Timmer

The European Civic Forum (ECF) in its 2023 Civic Space Report adressed the adverse effects of anti-money laundering (AML)/countering terrorist financing (CTF) regulations on the not-for-profit sector.

In the chapter on Bulgaria they reported something that will be recognised by NGOs across the EU:

Anti-money laundering/terrorist financing (AML/TF) legislation overburdens the sector

A major issue of the legal framework concerning NGOs remains the anti-money laundering/terrorist financing (AML/TF) legislation. Despite the advocacy efforts of the CSOs sector [124], the current AML/TF legislation still does not fully comply with the international standards set by FATF regarding the nonprofit organisations:

* All NGOs in Bulgaria are subjected to extensive obligations, including collecting information about their donors and beneficiaries. This approach is not risk based as the conclusions of the National Risk Assessment published in 2019 [125] show medium risk of the CSO sector linked to religious organisations that are excluded from the scope of the law.

* The NGOs with a relatively modest annual turnover of BGN 20,000 (roughly $10,700) or more and those NGOs who consider that there is a risk for their activities to be abused for the purposes of TF have additional administrative duties – they are obliged to carry out a risk assessment and to adopt internal rules. In many cases this is an unjustified administrative burden diverting resources from the main activities of already small organisations.

In 2022, the first Sectoral Risk Assessment of the NGO Sector in connection to AML/TF was started by the Bulgarian supervisory authority. The Assessment is carried out with the assistance of NGOs [126] and the results are expected to be published in early 2023.

The AML/TF measures also affect the access of NGOs to bank services. There is a tendency amongst banks in Bulgaria to require excessive information [127] (i.e. submitting donations contracts, submitting copies of personal documents of members of their supreme governing body, etc.) and forms not tailored to the CSOs sector’s specifics (i.e. shareholders information, obligatory information about the economic activities of the legal entity etc.) in order to conduct a background check of an NGO using or wishing to use the services of a bank. Some banks also demand a fee for reviewing the application and conducting a background check for opening an account of an NGOs which often do not take into account the legal specificities of thеsе entities and are not proportional to the amount of funds which need be deposited to the account. Results of the background checks are not shared with the concerned party and there are no adequate mechanisms set up for challenging decisions of the banks to deny service, block or close an existing account.

124 See e.g. 74 organizations supported a statement on the project of the Measures against Money Laundering Act (MAMLA).
125 Conclusions of the National Risk Assessment available here: https://dans.bg/images/stories/FID/NOR/Riskovi_sabitiya.pdf
126 BCNL is part of the working group on the Sectoral Risk Assessment
127 BCNL was informed with more than 30 such cases

 

In the Netherlands it is clearly visible that NGOs are criminalised by the government (article); one of the few banks where NGOs can open bank accounts stopped opening accounts (article). Read the articles on this blog on not-for-profit and AML.

It shows that the concepts behind anti-money laundering, as drafted by the informal world government FATF, completely fail.

Geplaatst in Bankrekening krijgen en behouden, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , | Plaats een reactie

Nieuw Europees voorstel inzake digitalisering van het ondernemingsrecht met onder meer een internationaal raadpleegbaar handelsregister

Geplaatst op 6 mei 2023 door Ellen Timmer

Europa is druk bezig met digitalisering op allerlei terreinen. De inkt van het vorige wetgevingspakket is nauwelijks droog, of kijk, daar is weer iets nieuws.
Dat geldt ook voor het ondernemingsrecht waarin voor zover ik weet de digitale oprichting van besloten vennootschappen in Nederland, voorgeschreven door richtlijn 2017/1132/EU, nog steeds niet mogelijk is [1] en de digitalisering van de processen in het rechtspersonenrecht minder makkelijk is dan Europa veronderstelt.

Voorstel voor een richtlijn inzake verdere uitbreiding en verbetering van het gebruik van digitale instrumenten en processen in het vennootschapsrecht
Europa gaat vrolijk verder met de digitaliseringsplannen. Op 29 maart jl. maakte de Europese Commissie een nieuw richtlijnvoorstel bekend [2]:

De Europese Commissie heeft vandaag een voorstel voor een richtlijn aangenomen die het voor bedrijven gemakkelijker maakt om het gebruik van digitale instrumenten en processen in het EU-vennootschapsrecht uit te breiden. Het voorstel heeft tot doel de grensoverschrijdende activiteiten van bedrijven te vergemakkelijken en de transparantie en het vertrouwen van het bedrijfsleven te vergroten door meer informatie over bedrijven op EU-niveau openbaar te maken. Het zal ook de bureaucratie voor grensoverschrijdende bedrijven verminderen en ongeveer 437 miljoen euro aan administratieve lasten per jaar besparen dankzij een EU-bedrijfscertificaat of de toepassing van het “eenmaligheidsbeginsel”. Het voorstel zal bijdragen tot de verdere digitalisering van de interne markt en zal bedrijven, met name het mkb, helpen om zaken te doen in de EU.

Het voorstel wijzigt de hierboven genoemde richtlijn en sluit aan op de nieuwe witwasbestrijdingsregels (het ‘AML Package’) waarover op dit moment in Europa wordt onderhandeld. In het voorstel zijn diverse onderwerpen opgenomen, onder meer:

  • De overheden moeten de juistheid van de ingeschreven gegevens meer gaan controleren op juistheid (‘preventive control’), onder meer of  het kapitaal is gestort.
  • Er gaan regels gelden waaraan de nationale registratie van personenvennootschappen (onder meer vennootschap onder firma) moet voldoen, die ook in het Europese zoeksysteem BRIS zullen worden opgenomen. Onder meer moet de totale inbreng van van de vennoten worden geregistreerd, wat me gelet op het karakter van de personenvennootschap lastig lijkt.
  • Er komen minimumregels voor de registratie van groepen.
  • Bv’s en nv’s moeten jaarlijks de juistheid van de bij het handelsregister geregistreerde gegevens bevestigen en dienen te beschikken over een Europees identificatienummer (EUID).
  • De EU lidstaten moeten er voor zorgen dat het handelsregister een ‘EU Company Certificate‘ kan afgeven op verzoek. In dat certificaat worden een aantal minimumgegevens opgenomen, onder meer inzake vertegenwoordigingsbevoegde  personen. Bij commanditaire vennootschappen worden ook de gegevens van de commanditaire vennoten in het certificaat vermeld (die dus niet meer ‘stil’ zijn).
  • Bepaalde gegevens moeten gratis uit het BRIS systeem worden gehaald, onder meer “the particulars of the persons who are authorised to represent the company in dealings with third parties and in legal proceedings” (zie voorstel voor artikel 36, paragrafen 3 en 4).

Exit van de ‘stille’ vennoten | commanditaire vennootschap
Het zat er al aan te komen (zie ook dit blog): de commanditaire vennoten van een commanditaire vennootschap, die beperkt aansprakelijk zijn, zijn in het voorstel van de Europese Commissie niet ‘stil’ meer. Ze worden ingeschreven in het handelsregister en worden vermeld op certificaten. Witwasbestrijders beweren al jaren dat er grootschalig misbruik van commanditaire vennootschappen zou worden gemaakt door criminelen (mij is niet bekend of dat werkelijk zo is), dus hun wensen worden hiermee vervuld.

Persoonsgegevens in het handels- en ubo-register
In het eerste citaat hierboven wordt gesproken over op EU-niveau openbaar te maken informatie over bedrijven, wat bij mij de vraag oproept welke persoonsgegevens daar dan in zitten. De registers en de certificaten bevatten volgens het voorstel ‘the particulars‘ van vertegenwoordigingsbevoegde personen:

the particulars of any persons who either as a body or as members of any such body are authorised by the company to represent it with respect to third parties and in legal proceedings and whether those persons may do so alone or are required to act jointly

Ik heb niet kunnen nagaan wat met “the particulars” wordt bedoeld. Het begrip is ook relevant voor vennoten van personenvennootschappen. Mogelijk dat “the particulars” door de Europese Commissie worden vastgesteld in ‘implementing acts‘ (zie voorstel voor een nieuw lid 2 van artikel 24).

Een punt van aandacht zijn de documenten die in het handelsregister zijn opgenomen en kunnen worden opgevraagd, bijvoorbeeld notariële akten, grote hoeveelheden persoonsgegevens bevatten (zie artikel 18 van het voorstel). De Nederlandse Kamer van Koophandel dekt een deel van die gegevens af bij het afgeven van een kopie. Ik zag niet zo snel welke gegevensbeschermingsmaatregelen worden genomen, wellicht zijn dat de nationale. In ieder geval staat in artikel 18 lid 4 van het voorstel:

4. Member States shall ensure that, through the system of interconnection of business registers, the first name, surname and date of birth of the persons referred to in Article 14, point (d), Article14a, points (j) and (k), Articles19(2), point (g), 19a (2), point (g), 30(1), point (e) and 36(3), point (f), are to be made publicly available.

5. Member States shall ensure that, through the system of interconnection of business registers, the first name, surname and the date of birth of the persons referred to in Article 3 of Directive 2009/102/EC are to be made publicly available.

Het zal me benieuwen wat men in het persbericht met ‘transparantie’ bedoeld in relatie tot de persoonsgegevens in de handelsregisters, aangezien in Nederland duidelijk is geworden dat de handel in persoonsgegevens door de Kamer van Koophandel zeer vervelende gevolgen heeft gehad voor ingeschreven personen [3].

Men vermeldt dat de nationale registers van uiteindelijk belanghebbenden (in Nederland het ‘ubo-register’) met elkaar zullen worden verbonden [4]. Het zal mogelijk moeten worden via het Europese rechtspersonenzoeksysteem BRIS gegevens van uiteindelijk belanghebbenden (ubo’s) te raadplegen. Daar zitten grote gegevensbeschermingsrisico’s aan, ik ben benieuwd op welke manier die worden voorkomen.

Bureaucratie
De Europese Commissie verkoopt de plannen met het verhaal dat alles door de digitalisering makkelijker en efficiënter zou worden en spreekt zich daarna tegen als wordt vermeld dat bv’s en nv’s jaarlijks de juistheid van de ingeschreven gegevens moeten bevestigen [5], wat vast niet het enige zal zijn.
De praktijk leert dat digitalisering meestal meer bureaucratie oplevert, we gaan zien of het dit keer anders is.

Digitale identificatie
Het voorstel sluit aan bij andere Europese digitaliseringsregels en -projecten, zoals de eIDAS-verordening  (de EU-regels inzake elektronische identificatie en vertrouwensdiensten) en de lopende herziening van de eIDAS-verordening om een kader voor een Europese digitale identiteit vast te stellen [6].

Tot slot
Het is afwachten of het Europese digitale optimisme terecht is en resultaten oplevert die geen gegevensbeschermingsrisico’s opleveren voor betrokkenen.

 

 

Noten

[1] Dit wordt voorgeschreven door de Europese richtlijn 2017/1132/EU. Volgens de pagina op de site van de Tweede Kamer is het wetgevende proces inzake het wetsvoorstel Online oprichting besloten vennootschappen nog niet afgerond. Hetzelfde is het te zien in het dossier op overheid.nl. Zie de berichten met de tag digitale oprichting rechtspersonen.

[2] Persbericht Europese Commissie: Voorstel Commissie: meer transparantie en minder bureaucratie voor bedrijven om het ondernemingsklimaat in de EU te verbeteren, 29 maart 2023. Verdere informatie: vragen en antwoorden, het voorstel voor de richtlijn en de bijlage bij dat voorstel.

[3] Lees de berichten over bescherming persoonsgegevens handelsregister.

[4] In het persbericht van de Europese Commissie wordt naar de pagina over de Europese zoekmachine voor uiteindelijk belanghebbenden verwezen, waar deze uitleg staat:

Het systeem van gekoppelde registers van uiteindelijk begunstigden („BORIS”) is een instrument dat de nationale centrale registers met informatie over de uiteindelijk begunstigden van vennootschappen, juridische entiteiten, trusts en andere soorten juridische constructies met elkaar verbindt

en vervolgens melding wordt gemaakt van de uitspraak van de Europese rechter van 22 november 2022 (persbericht), die een stokje heeft gestoken voor het openbaar maken van ubo-gegevens:

Op 22 november 2022 heeft het Hof van Justitie uitspraak gedaan in de gevoegde zaken WM (C-37/20) en Sovjm SA (C-601/20) tegen Luxemburgse ondernemingsregisters en heeft het de bij Richtlijn 2018/843 tot wijziging van Richtlijn 2015/849 ingevoerde vereiste dat de lidstaten informatie over de uiteindelijk begunstigden van rechtspersonen in centrale registers in alle gevallen toegankelijk moeten maken voor alle leden van het grote publiek, nietig verklaard. Het Hof was van oordeel dat een dergelijke ongedifferentieerde toegang van het publiek niet strikt noodzakelijk was om het witwassen van geld en de financiering van terrorisme te voorkomen, noch evenredig was en derhalve geen ernstige inmenging in de grondrechten kon rechtvaardigen, namelijk het recht op eerbiediging van het privéleven en op bescherming van persoonsgegevens, zoals neergelegd in de artikelen 7 en 8 van het Handvest.
Als gevolg van dit arrest kan het interconnectiesysteem van registers van uiteindelijk begunstigden (BORIS) momenteel geen openbare toegang bieden tot de informatie in de nationale registers van uiteindelijk begunstigden. Hoewel de Commissie zal blijven werken aan de invoering van toegang voor bevoegde autoriteiten en meldingsplichtige entiteiten, zullen ook de juridische en technische mogelijkheden voor de tenuitvoerlegging van openbare toegang op basis van rechtmatig belang worden beoordeeld.

[5] Zie de vragen en antwoorden:

Second, the proposal will ensure that company information in business registers is up-to-date by:
* asking companies to make timely updates of their information in business registers, and to confirm once a year that the information is up-to-date;
* asking business registers to make new information received from companies publicly available as soon as possible;
* ensuring that sanctions are applied where companies do not file information or file it late to business registers.

[6] Aldus de vragen en antwoorden:

It does not introduce new systems but builds on existing ones, for example on BRIS that is operational since 2017 and connects all Member State registers. It is also in line with EU rules on electronic identification and trust services (the eIDAS Regulation and its ongoing revision to establish a framework for a European Digital Identity).

In het voorstel staat dat artikel 16a van richtlijn 2017/1132/EU wordt aangevuld met deze passage, waarin de European Digital Identity Wallet wordt genoemd (markering door mij):

(20) In Article 16a, the following paragraphs are added:
‘5. Member States shall ensure that electronic copies and extracts of the documents and information provided by the register are compatible with the European Digital Identity Wallet, referred to in [PO: Reference to Proposal for a Regulation of the European Parliament and of the Council amending Regulation (EU) No 910/2014 as regards establishing a framework for a European Digital Identity].
6. This Article shall apply mutatis mutandis to copies of all or any part of the documents and information referred to in Articles 14a and 14b.’;

Een gelijksoortige tekst staat in het voorstel voor artikel 16b, zie lid 6.

Geplaatst in Europa, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce, Kamer van Koophandel, Personenvennootschap, Rechtspersonenrecht, Ubo-register | Tags: , , , , , , , , , , , , | Plaats een reactie

Civic Space Watch newsletter

Geplaatst op 5 mei 2023 door Ellen Timmer

The European Civic Forum (ECF) published its April ‘Civic Space Watch’ newsletter with interesting articles.

European / international:

On specific countries: (introduction texts by ECF)

  • France: AI surveillance law, strikes, and protests met with unprecedented police violence: 1, 2. France/United Kingdom: French publisher Ernest Moret arrested by British police in London: article. Civil society and protesters continue to push back against the government’s controversial Separatism law, pension reforms, and AI surveillance measures: article.
  • United Kingdom: Civic freedom rating has changed from ‘narrow’ to ‘obstructed’ as the government implements restrictions on protests following worker’s strikes and climate protests. Anti-migrant attacks persist throughout the country: article.
  • Hungary: Anti-LGBT law and The European Court of Human Rights judgement in the Baka v. Hungary case: 1, 2.
  • Poland: Warsaw District Court convicts abortion rights activist Justyna Wydrzyńska: article.
  • Latvia: Latvia’s rating was upgraded to ‘open’ as CSOs in Latvia continue to strengthen public participation. However, there are still concerns over the state budget dedicated to CSO activities and the criminalisation of solidarity, article.
  • Greece: Criminal investigations opened against human rights defenders: article.
  • Serbia: Call For Solidarity – Protest leader criminally prosecuted by hospital administrator for calling out COVID-19 crisis mismanagement: article.

More information is to be found in the Civic Space Watch database.

Geplaatst in English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt, Grondrechten, Not-for-profit | Tags: | Plaats een reactie

iDEAL wordt Europees

Geplaatst op 4 mei 2023 door Ellen Timmer

Onlangs werd bekend dat het iDEAL betaalsysteem door een groep Europese banken die samenwerken onder de naam European Payments Initiative (EPI) wordt overgenomen in het kader van het Europese instant payments project, lees ook de berichten in de media:

EPI heeft tot doel om te werken aan één betaalplatform voor Europa en wil de nieuwe functionaliteit van iDEAL, waarmee internetkopen wordt bevorderd, verder ontwikkelen, in het persbericht van EPI beschreven als:

De planning van het bedrijf is ambitieus en zet in op een uitgebreide reeks diensten. In een eerste fase maakt EPI betalingen van ‘persoon-tot-persoon’ (P2P) en van ‘persoon-tot-professional’ (P2Pro) mogelijk, waarna de dienstverlening zal worden uitgebreid met online en mobiel betalen, om op termijn point-of-sale betalingen te faciliteren. EPI wil diverse soorten transacties mogelijk maken, waaronder eenmalige betalingen, abonnementen, betalen in termijnen, betalingen bij levering en reserveringen. Aanvullende diensten met toegevoegde waarde zullen in de loop van de tijd toegevoegd worden, zoals verantwoorde ‘Buy Now, Pay Later’ (BPNL: Koop nu, betaal later), digitale identiteitsfunctionaliteit en spaar- en loyaliteitsprogramma’s.

Zie ook de Nederlandse Vereniging van Banken (NVB) die schrijft: iDEAL wordt fundament voor pan-Europees betaalplatform, en Betaalvereniging Nederland: iDEAL wordt fundament voor paneuropees betaalplatform. De Betaalvereniging schrijft:

Voor Nederlandse consumenten en bedrijven heeft de overname van iDEAL voorlopig geen directe gevolgen anders dan de doorontwikkeling naar het nieuwe iDEAL die reeds in gang is gezet.

iDEAL is al een tijd bezig met het aanpassen van het systeem in de richting van open finance, lees mijn blog Buiten beeld: iDEAL 2.0.

De drie Nederlandse grootbanken die vrijwel de hele Nederlandse betaalmarkt in handen hebben, ING Bank, ABN Amro en Rabobank, nemen deel aan EPI.

Punt van aandacht bij deze initiatieven is of de gegevensbescherming van burgers voldoende gewaarborgd is.

 

Aanvulling 18 april 2024
Terwijl de initiatiefnemers van iDEAL heel graag koop op afbetaling en gelijksoortige financiële producten willen aanbieden, is de Nederlandse overheid een campagne tegen achteraf betalen gestart, lees Minister Schouten start campagne over risico’s achteraf betalen tijdens Week van het Geld.

Aanvulling 11 april 2024
Zie ook de ECB over de Wero in dit bericht, noot 14:

There are several examples of market initiatives that aim to provide pan-European solutions. For example, 14 banks from France, Germany, Belgium, the Netherlands and Luxembourg are seeking to position a new brand, Wero, as part of the European Payments Initiative (EPI). Wero currently offers payment solutions for person-to-person and online (where accepted) use cases. While this is a positive development, Wero still has a limited scope in the EU and does not intend to expand into point-of-sale payments with a contactless (NFC) solution. In parallel, EuroPA, the European Payments Alliance, has been created, under which Bancomat, Bizum and MB WAY have started rolling out their service to enable users in Italy, Portugal, Spain and Andorra to send and receive money instantly via mobile phone number. While interoperability among domestic schemes has the potential to connect separate payment systems, achieving a truly seamless and integrated payment experience requires significant technical, regulatory and user experience challenges to be overcome, particularly when considering various use cases like point-of-sale and e-commerce. These European private initiatives could capitalise on the open standards and legal tender status of the digital euro, thereby expanding into new countries and addressing new use cases more cost-effectively.

Aanvulling 5 juni 2025
Radar publiceerde: iDEAL verdwijnt: hoe werkt het nieuwe betalingssysteem Wero?

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt | Tags: , , , , , , , , , , , , , | 5 reacties

Mensen verslaafd maken is een businessmodel voor IT-bedrijven

Geplaatst op 3 mei 2023 door Ellen Timmer

In het FD stond een artikel (betaalmuur) over tabaksbedrijven onder de kop ‘Wanda de Kanter: ‘Kinderen verslaafd maken is een businessmodel‘. Mooie titel.

De grote IT-bedrijven passen dit toe op hun apparaten en software en de overheid doet er vrijwel niets tegen. Ik vind dat het tijd is voor strakke maatregelen: weg met al die overbodige aandacht trekkende functies, weg met het datadelen, weg met overbodige software op smartphones en tablets die je niet kunt verwijderen of aanpassen.

Geplaatst in ICT, privacy, e-commerce | Tags: , , | Plaats een reactie

Europol verslag met heikele onderwerpen | encryptie, predictive policing en gegevensbescherming

Geplaatst op 2 mei 2023 door Ellen Timmer

In het verslag van een digitale Interparlementaire conferentie van de parlementaire controlegroep Europol (JPSG) van maart jl. komen diverse heikele onderwerpen voor, waarvan ik er enkele noem.

Chatcontrol
Onder meer wordt het onzalige plan van de Europese Commissie besproken om achterdeurtjes in te laten bouwen in messaging software zoals whatsapp en signal, om daarmee kindermisbruik te bestrijden, ook bekend als ‘chatcontrol’. De verantwoordelijke eurocommissaris Johansson hield een betoog voor het voorstel, aldus het verslag:

In Brussel maar ook in een aantal hoofdsteden, is één element uit het voorstel, het voor het doel van het tegengaan van online kindermisbruik tornen aan het principe van end-to-end encryptie, omstreden. Mevrouw Johansson noemde een aantal gruwelijke feiten (de zeer jonge leeftijd van slachtoffers en het gegeven dat juist bij de jongste slachtoffers veel geweld wordt gebruikt) en memoreerde dat onder het huidige tijdelijke uitzonderingsregime internetproviders ook wordt toegestaan kindermisbruik te detecteren (verordening 2021/1232 die van toepassing is tot 3 augustus 2024.). In verdediging van haar voorstel stelde mevrouw Johansson dat voor de bestrijding van malware internetbedrijven ook encryptie verbreken. Verder stelde mevrouw Johansson dat met het zware belang dat de Europese Unie hecht aan encryptie, het blok zich plaatst buiten de wijdere internationale orde waar de afweging tussen encryptie en het bestrijden van online kindermisbruik anders gemaakt zou worden. Commissaris Johansson deed een dringend appèl op JPSG-leden om in hun capaciteit als (nationaal of Euro-)parlementariër hun invloed aan te wenden om de onderhandelingen over de verordening te bespoedigen.

Over die plannen is de  Europese Toezichthouder voor gegevensbescherming (EDPS), de heer Wojciech Wiewiórowski, kritisch, aldus het verslag:

De EDPS stelde de doelstelling van het voorstel vanzelfsprekend ten zeerste te steunen maar onverminderd sterke bedenkingen te hebben bij de middelen (afzwakken encryptie en permanente monitoring datacommunicatie) die de Commissie voorstelt om die doelstelling te bereiken.

Grondrechten en gegevensbescherming
In hoofdstuk 4 komt de gespannen verhouding tussen Europol en de gegevensbeschermingstoezichthouder aan de orde. Europol is naar aanleiding van uitglijers in het verleden onder een soort van curatele geplaatst en heeft maatregelen moeten nemen om de grondrechten beter te respecteren. Het hoofd van Europol liet weten een groot aantal maatregelen te hebben genomen. Over de audits die EDPS uitvoert bij Europol staat in het verslag over het relaas van de heer Wojciech Wiewiórowski:

Als tweede onderwerp sprak de EDPS over de audits die de EPDS jaarlijks uitvoert ten aanzien van Europol. Hij stelde in 2022 de opzet van de audits gewijzigd te hebben van een aanpak leidend tot een verslag met niet-bindende aanbevelingen waar EDPS en Europol dan verder overleg over voeren naar een systeem waarbij, als er tijdens de audits een vermoeden van een onregelmatigheid wordt gevonden, daar meteen verder onderzoek naar wordt gedaan. De EDPS gaf aan dat de audits zich onder meer richten op hoe Europol omgaat met gegevensverkeer richting lidstaten en richting landen buiten de EU en hoe wordt omgegaan met data betreffende minderjarigen. Als derde punt ging de EDPS in op bepalingen die samenhangen met de herziene Europolverordening. Eén bepaling is dat Europol bij lopende misdaadonderzoeken complexe datasets mag gebruiken voordat categorisatie heeft plaatsgevonden (artikel 18a van de herziene Europolverordening). De EDPS benadrukte dat deze bepaling als uitzondering bedoeld is en dat de EDPS daar ook op zal toezien. De EDPS stelde verder dat individuen die hun recht op inzage van data willen uitoefenen erop moeten kunnen vertrouwen dat als data die hen betreft in datasystemen van Europol voorkomt, die data ook volledig traceerbaar is.

Ook predictive policing kwam aan bod:

vroeg (…) Metsu welke mogelijkheden de EDPS binnen de Europolverordening zag voor toepassing van nieuwe AI-technologie gericht op het voorspellen van misdaad. Gerelateerd aan deze vraag vroeg (…) Groothedde naar het risico dat bij gebruik van algoritmen een bias kan optreden. De EDPS gaf aan dat voor wat betreft AI 2023 een belangrijk jaar is door de het breed uitrollen van AI middels ChatGPT, voor gebruik door het publiek, maar ook door criminele organisaties. De EDPS gaf aan onverminderd van mening te zijn dat Europol over de nieuwste technieken moet kunnen beschikken maar enkel als er afdoende waarborgen zijn voor de bescherming van persoonsgegevens. De EDPS refereerde aan recente proefprojecten van Europol die Europol zelf op een gegeven moment on hold heeft gezet. Voor wat betreft voorspellende AI-technologie maakte de EDPS een verschil tussen het voorspellen van misdaden en van daders, waarbij hij sterk waarschuwde tegen laatstgenoemde verwijzend naar het fundamentele rechtsbeginsel van het vermoeden van onschuld. De EDPS haalde hierbij voorbeelden aan uit onder andere de Verenigde Staten waar het systeem “Compas” (bedoeld om het risico op recidive te voorspellen) in 2016 niet enkel ineffectief bleek maar ook een negatieve bias had richting mensen die tot minderheden behoren.

 

Meer informatie:

Het verslag van een digitale Interparlementaire conferentie van de parlementaire controlegroep Europol (JPSG), vastgesteld 19 april 2023.

Enige eerdere berichten op dit blog over Europol:

Geplaatst in Europa, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce, Strafrecht | Tags: , , , , , , , | Plaats een reactie

Voor eeuwig verboden: het kabinet negeert advies Autoriteit Persoonsgegevens over openbaarmaking bestuursverbod

Geplaatst op 1 mei 2023 door Ellen Timmer

In februari jl. berichtte de Autoriteit Persoonsgegevens (AP) dat het advies van de AP over het bestuursverbod niet door het kabinet wordt opgevolgd en dat er een brief aan de Tweede Kamer commissie Digitale Zaken is gestuurd.
Het kabinet wil dat het openbaar wordt gemaakt via het handelsregister als mensen een bestuursverbod opgelegd krijgen. De AP is daar tegen omdat in de huidige tijd deze informatie nooit meer verdwijnt en betrokkenen voor eeuwig worden gestraft. De AP schrijft:

Wolfsen: ‘In het digitale tijdperk is de kans levensgroot dat die lijst voor altijd ergens online blijft staan. Een kopietje is zo gemaakt. En zo kan een misstap iemand een leven lang achtervolgen. Dat zou betekenen: eens op een zwarte lijst, altijd op een zwarte lijst.’

Ook is openbaarmaking niet nodig om het met het bestuursverbod beoogde doel te bereiken. Het kabinet heeft aangegeven dat het advies van de AP niet wordt opgevolgd, zodat er kennelijk over geprocedeerd moet gaan worden om dit van tafel te krijgen.

Het bericht van de AP:

AP: maak lijst van mensen met bestuursverbod niet openbaar
Persbericht 20 februari 2023

De minister van Economische Zaken en Klimaat (EZK) volgt een belangrijk advies van de Autoriteit Persoonsgegevens (AP) niet op. De minister wil dat de Kamer van Koophandel (KvK) voortaan een lijst publiceert van mensen met een zogeheten bestuursverbod, bijvoorbeeld vanwege faillissementsfraude. Maar dit publiek maken van strafrechtelijke persoonsgegevens is niet noodzakelijk en niet evenredig. En het heeft wel langdurig zeer schadelijke gevolgen voor de mensen die op de lijst worden gezet. De AP roept de Tweede Kamer dan ook op de publicatie van bestuursverboden tegen te houden.

De AP adviseerde de minister in februari 2022 de lijst niet openbaar te maken. Het advies gaat over een wijziging van het Handelsregisterbesluit. Volgens die wijziging zullen mensen die een bestuursverbod opgelegd krijgen, maximaal 5 jaar op een openbare lijst in het Handelsregister (beheerd door de KvK) komen te staan.

Sinds 2016 kunnen mensen die faillissementsfraude hebben gepleegd zo’n verbod krijgen. Zij mogen dan tijdelijk geen bedrijf meer besturen.

Schandpaal

‘Natuurlijk moeten mensen die fraude plegen worden aangepakt’, zegt AP-voorzitter Aleid Wolfsen. ‘En dat worden ze ook: ze worden veroordeeld tot bijvoorbeeld een gevangenisstraf. En mogen voorlopig geen bedrijf meer besturen.’

‘Maar met dit voorstel krijgen die mensen eigenlijk nog een extra straf: ze worden tot in de lengte der dagen aan de schandpaal genageld’, aldus Wolfsen.

‘Het gaat hier om lijsten met naam en toenaam, geboortedatum, geboorteplaats en welke misdaad mensen precies hebben gepleegd. Dat doet de wetgever bij andere wetsovertredingen ook niet.’

Voor altijd online

Na maximaal 5 jaar worden mensen weer van de openbare lijst gewist, zodat zij een nieuwe kans krijgen. Maar de AP merkt op dat de informatie dan niet per se verdwijnt.

Wolfsen: ‘In het digitale tijdperk is de kans levensgroot dat die lijst voor altijd ergens online blijft staan. Een kopietje is zo gemaakt. En zo kan een misstap iemand een leven lang achtervolgen. Dat zou betekenen: eens op een zwarte lijst, altijd op een zwarte lijst.’

Niet noodzakelijk en niet evenredig

Het openbaar maken van die lijst is daarbij ook niet nodig om te voorkomen dat mensen met een bestuursverbod toch weer bestuurder kunnen worden, stelt de AP.

Nieuwe bestuurders moeten zich altijd aanmelden bij de KvK. Meldt iemand zich aan die een bestuursverbod heeft, dan kan de KvK dat meteen zien op de lijst. En die persoon vervolgens weigeren als bestuurder.

Daarnaast is het openbaar maken van die lijst ook niet noodzakelijk omdat de eerlijkheid in het handelsverkeer dit vereist. En niet evenredig in relatie tot het beoogde doel.

In een nota van januari 2023 geeft de minister van EZK aan dat zij het advies van de AP niet opvolgt.

‘Ontoelaatbaar’, vindt Wolfsen. ‘Op het doel op zich is niets aan te merken, dat is zelfs zeer te begrijpen. Maar de uitwerking van de wet is in strijd met de grondrechten van iedereen. Wij hebben de Tweede Kamer dan ook per brief met klem opgeroepen hiermee niet akkoord te gaan.’

 

De AP schreef op 20 februari een een brief aan de commissie voor Digitale Zaken van de Tweede Kamer die hier is te vinden.

Geplaatst in Bestuur en toezicht bij rechtspersonen, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , | Plaats een reactie

AVG-boete vanwege gebrekkige identiteitscontrole door de telefonische helpdesk

Geplaatst op 30 april 2023 door Ellen Timmer

Ook bij telefonische helpdesks moet worden gelet op identiteitsfraude, zo is te zien aan het bericht van de Autoriteit Persoonsgegevens. Daarin wordt mee gedeeld dat de Sociale Verzekeringsbank (SVB) een boete opgelegd heeft gekregen wegens gebrekkige identiteitscontrole door de telefonische helpdesk. Dit kan bij vele andere organisaties ook gebeuren.

Aanleiding was een gebeurtenis in 2019, toen gegevens van een SVB-cliënt in handen kwamen van iemand die die gegevens niet had mogen krijgen. De cliënt ontdekte dat een derde via de telefonische helpdesk van de SVB uitkeringsinformatie had weten op te vragen vanwege de gebrekkige identiteitscontrole.

Controlevragen over breed verspreide of gelekte gegevens
De controlevragen van SVB gingen over zaken die vrij eenvoudig zijn te achterhalen door buitenstaanders, zoals iemands voornaam, adres en postcode.Vanwege alle datalekken ligt er nog veel meer informatie op straat, zodat ook de geboortedatum, bankrekeningnummers en dergelijke, niet meer geschikt zijn om de identiteit te verifiëren. Niet alleen de SVB maakt zich daar aan schuldig, ook private leveranciers van essentiële diensten, zoals financiële instellingen en energiebedrijven, maken deze fouten.

Terecht besluit het artikel met:

‘Instanties met telefonische hulplijnen kunnen hier van leren’, aldus Mur. ‘Privacybeleid gaat niet alleen over digitale dienstverlening, maar ook over telefonische dienstverlening. Mensen doen natuurlijk steeds meer via internet, maar telefonische helpdesks worden ook veel gebruikt. Zorg er dus voor dat je ook bij telefonische dienstverlening de privacybescherming regelt.’

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , | Plaats een reactie

Bericht AP over kritiek EDPB op Europese voorstellen inzake het gegevens delen ten behoeve van de criminaliteitsbestrijding | bancair sleepnet

Geplaatst op 29 april 2023 door Ellen Timmer

De Autoriteit Persoonsgegevens publiceerde een artikel over de brief die de Europese gegevensbeschermingstoezichthouders aan de Europese instellingen hebben geschreven over de verruiming van het gegevensdelen ten behoeve van de criminaliteitsbestrijding:

EDPB: neem bevoegdheid om data te delen voor witwasbestrijding niet op in wet
Nieuwsbericht 12 april 2023

De Europese privacytoezichthouders wijzen op aanzienlijke risico’s voor privacy en gegevensbescherming in een wetsvoorstel over de bestrijding van witwassen en terrorismefinanciering. Zij uiten hun zorgen in een brief aan de Europese medewetgevers. In Europa wordt op dit moment namelijk gesproken over de opvolger van de huidige anti-witwasrichtlijn.

In de brief, die is aangenomen door de European Data Protection Board (EDPB), roepen de privacytoezichthouders op om bepaalde bepalingen niet op te nemen in de uiteindelijke wet. Door deze door de Raad voorgestelde bepalingen zouden private bedrijven en publieke instanties persoonsgegevens met elkaar kunnen delen. Het gaat hier om het op grote schaal delen van transacties en persoonsgegevens die zijn verzameld voor klantonderzoeken en transactiemonitoring.

De EDPB uit ernstige zorgen over de rechtmatigheid, noodzaak en evenredigheid van de voorstellen. De EDPB is van mening dat de voorstellen zeer waarschijnlijk zullen leiden tot buitenproportionele gegevensverwerkingen.

De risico’s voor burgers zijn ernstig, en de gegevensverwerking kan aanzienlijke impact hebben op mensen. Zij kunnen bijvoorbeeld op zwarte lijsten terechtkomen en uitgesloten worden van financiële diensten. De EDPB dringt er dan ook op aan om deze bepalingen niet op te nemen in het definitieve voorstel van de wet.

De brief van de EDPB volgt op eerder geuite zorgen over de nieuwe Europese wetsvoorstellen. De Autoriteit Persoonsgegevens (AP), ook onderdeel van de EDPB, heeft eerder ook al bezwaar gemaakt tegen zulke bepalingen in de Nederlandse wetgeving.

AP-bestuurder Katja Mur: ‘In de brief van de EDPB staan dezelfde soort bezwaren als de AP eerder heeft aangegeven bij het wetsvoorstel plan van aanpak Witwassen. Fijn dat binnen Europa de neuzen dezelfde kant op staan wat betreft de anti-witwaswetgeving.’

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce, Strafrecht | Tags: , , , , , , , , , , , , | Plaats een reactie

Er wordt nog steeds gelobbyd voor openbaarmaking van donateursgegevens | not-for-profit

Geplaatst op 28 april 2023 door Ellen Timmer

Gisteren schreef ik over het voorstel voor de Wet transparantie maatschappelijke organisaties (Wtmo), dat ooit in 2019 begon met een internetconsultatie over een ontwerp waarin het onzalige plan was opgenomen om personalia van donateurs openbaar te maken (blog). Hoewel het voorstel voor de Wtmo is aangepast en de gegevens niet onmiddellijk op straat komen te liggen, wordt er nog steeds gelobbyd voor openbaarmaking van donateursgegevens.

Platform for Tax Good Governance
Tijdens de vergadering van 13 september 2022 van een tax governance groepering in de EU, het Platform for Tax Good Governance, is een document van Oxfam besproken waarin onder meer staat (pagina 17):

Oxfam was samen met andere private organisaties bij de vergadering aanwezig, wat aangeeft hoe machtig zij zijn.

Oxfam is een lobbyorganisatie die onder meer bezig is met eerlijke belastingheffing (wat respectabel is) maar maatregelen voorstelt die grondrechten van burgers schaden en de not-for-profit sector benadelen.

Wellicht dat brancheorganisaties in de not-for-profit er goed aan doen Oxfam hier op aan te spreken.

 

Meer informatie:

Eerder constateerde ik dat Tax Justice Network lak heeft aan de grondrechten van burgers, lees mijn artikel over hun SWIFT-rapport.

 

Mijn berichten over donateurstransparantie zijn hier te vinden.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce, Not-for-profit | Tags: , , , , , , , | Plaats een reactie