eHealth, eID wallet and other topics in the draft implementing decision for the Digital Decade Policy Programme 2030

Geplaatst op 8 maart 2023 door Ellen Timmer

Until 13 March a European consultation is running regarding the Digital Decade Policy Programme 2030, that the EDICs I wrote about today are part of.
The consultation is about a draft for a Commission implementing decision setting out key performance indicators (KPIs) to measure the progress towards the digital targets established by Article 4(1) of the relevant decision:

Article 4 Digital targets
1. The European Parliament, the Council, the Commission and the Member States shall cooperate with a view to achieving the following digital targets in the Union by 2030 (the ‘digital targets’):
(1) a digitally skilled population and highly skilled digital professionals, with the aim of achieving gender balance, where:

(a) at least 80 % of those aged 16-74 have at least basic digital skills;
(b) at least 20 million ICT specialists are employed within the Union, while promoting the access of women to this field and increasing the number of ICT graduates; (…)

In the draft implementing decision several contentious issues are mentioned.

E-health records, eID wallet
Article 2 (1) mentions KPIs in regard to national e-health records and eID wallets:

(15) Access to e-health records, measured as: (i) the existence of a nationwide mechanism, for citizen online access to health data, such as a patient portal, or a patient mobile app with additional measures in place that enable certain categories of people (e.g. guardians for children, people with disabilities, elderly) to also access their data, and (ii) the percentage of individuals that have the ability to obtain or make use of their own minimum set of healthrelated data currently stored in public and private electronic health-record (EHR) systems.

(16) Access to eID measured as the number of Member States that have issued a wallet in accordance with the Proposal for a Regulation of the European Parliament and of the Council amending Regulation (EU) No 910/2014 as regards establishing a framework for a European Digital Identity9 . In the first 2 years, it will also be monitored based on the number of Member States that have notified at least one national eID scheme in accordance with Regulation (EU) No 910/2014.

Quantum computing, big data and artificial intelligence
Other KPIs concern quantum computing, big data and artificial intelligence:

(7) Quantum computing measured as the number of unique Union quantum computing hardware systems/services, as well as reporting on European technical leadership and European impact leadership. European quantum computing hardware system/services are hardware stack systems/services demonstrating quantum advantage (i.e., outperforming a non-quantum hardware system/service in the solution of the same problem) using an ad-hoc benchmark created for proof. European technical leadership is measured as the use of a widely adopted quantum volume benchmark for the largest quantum computing capacity. European impact leadership is measured as number of quantum algorithms and use cases created with clear impact orientation in basic science, applied science, industries, and the public sector. (…)

(9) Big data, measured as the percentage of enterprises analysing big data from any data source (internal or external) [6]. As of the 2024 report, big data will be measured by the percentage of enterprises performing data analytics (internally or externally).

[6] As defined in the Commission Regulation (EU) 2019/1910 of 7 November 2019 implementing Regulation (EC) No 808/2004 of the European Parliament and of the Council concerning Community statistics on the information society for reference year 2020 (Text with EEA relevance), and subsequent implementing regulations pursuant to Regulation (EU) 2019/2152 of the European Parliament and of the Council (Text with EEA relevance), in particular Article 7(1) and Article 17(6) thereof.
(10) Artificial intelligence, measured as the percentage of enterprises using at least one artificial intelligence technology.

No KPIs on the protection of human beings against digital abuses
Unfortunately, KPIs on capacity of privacy authorities and their action against digital abuses are missing. One of the private persons already refers to this (source), passage blauw gemarkeerd:

Die Digitalziele, wie in Artikel 4 des Beschlusses (EU) 2022/2481 festgelegt, werden nur zu erreichen sein, wenn sie von der betroffenen Bevölkerung akzeptiert und unterstützt werden. Dies setzt einen wirksamen und nachvollziehbaren Schutz der Privatsphäre bei allen technischen und digitalen neuen Möglichkeiten voraus. Ohne inhärenten Datenschutz werden die Digitalziele nicht zu verwirklichen sein und wären auch nicht erstrebenswert. Daher sollten bei den KPIs auch entsprechende Messverfahren und Indikatoren für das Datenschutzniveau und dessen Durchsetzungsfähigkeit hinzugefügt werden.

Hopefully, there will be civil rights organisations that will point this out in their contribution to this consultation.

 

More information:

Digital Decade Policy Programme 2030: Decision (EU) 2022/2481 of the European Parliament and of the Council of 14 December 2022 establishing the Digital Decade Policy Programme 2030:

Consultation regarding a draft implementing decision “setting out key performance indicators to measure the progress towards the digital targets established by Article 4(1) of Decision (EU) 2022/2481“:

A lot of feedback is removed, stating: “This feedback was removed as it did not comply with the European Commission’s rules for publishing feedback and suggestions. Any feedback that users report to us as inappropriate will be examined and removed if necessary. Please take a look at the rules for feedback and suggestions to learn more about the guidelines for this site.

Geplaatst in English - posts in English on this blog, Europa, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , , , , | Plaats een reactie

New legal entities created by the European Commission | European digital infrastructure consortia (EDICs)

Geplaatst op 8 maart 2023 door Ellen Timmer

Those interested in the law of legal persons will be fascinated by the new legal entities created by the European Commission.

This phenomenon is to be found in Decision (EU) 2022/2481 of 14 December 2022 establishing the Digital Decade Policy Programme 2030. The new entity is called a ‘European digital infrastructure consortium‘ (EDIC).

The European Commission will create EDICs
Member States may implement a multi-country project by means of an EDIC. It is interesting to see that the European Commission will create these entities, Article 13 (3):

EDICs shall have legal personality from the date of entry into force of the relevant Commission decision

EDICs will have full legal capacity, Article 13 (4):

EDICs shall have in each Member State the most extensive legal capacity accorded to legal entities under the law of that Member State. They may, in particular, acquire, own and dispose of movable, immovable and intellectual property, conclude contracts and be a party to legal proceedings.

Article 14 describes the setting up of an EDIC, including a public register held by the Commission:

Article 14 Setting up an EDIC

1. Member States applying to set up an EDIC shall submit a written application to the Commission. The application shall contain the following:

(a) a request to the Commission to set up the EDIC;
(b) the proposed Statutes of the EDIC;
(c) a technical description of the multi-country project to be implemented by the EDIC;
(d) a declaration by the host Member State whether it recognises the EDIC as an international body as referred to in Article 143(1), point (g), and Article 151(1), point (b), of Directive 2006/112/EC and as an international organisation as referred to in Article 12(1), point (b), of Directive 2008/118/EC, from the date on which the EDIC is set up.

The limits and conditions of the exemptions provided for in the provisions referred to in point (d) of the first subparagraph shall be laid down in an agreement between the members of the EDIC.

2. The Commission shall assess the application on the basis of the conditions set out in paragraph 1 of this Article. It shall take into account the general objectives, as well as the purposes and goals of the multi-country project, pursuant to Article 10(1) and (2), and practical considerations related to the implementation of the multi-country project to be implemented by the EDIC.

3. The Commission shall, taking into account the results of the assessment referred to in paragraph 2 of this Article, adopt by means of implementing acts either of the following:

(a) a decision setting up the EDIC, after it has concluded that the requirements laid down in Articles 13 to 21 are met; or
(b) a decision rejecting the application, if it concludes that the requirements laid down in Articles 13 to 21 are not met, including in the absence of the declaration referred to in paragraph 1, point (d), of this Article.

In the event of a decision rejecting the application under point (b) of the first subparagraph of this paragraph, Member States may form a consortium by way of an agreement. Such a consortium shall not be considered to be an EDIC and shall not benefit from the implementation structure laid down in Articles 13 to 21.

Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 23(2).

4. Decisions referred to in paragraph 3, point (a) or (b), shall be notified to the applicant Member State. Where the application is rejected, the decision shall be explained in clear and precise terms.

5. The Commission shall annex the essential elements of the Statutes of the EDIC referred to in Article 17(1), points (c), (d), (e) and (i), to the decision setting up an EDIC.
Decisions setting up an EDIC shall be published in the Official Journal of the European Union. The Commission shall establish a publicly accessible list of the EDICs set up, and shall update the list in a timely and regular manner.

Other topics:

  • Article 15 – the membership of an EDIC.
  • Article 16 – the governance of an EDIC.
  • Article 17 – the statutes of an EDIC.
  • Article 18 – liability of an EDIC,.
  • Article 19 – applicable law and jurisdiction.
  • Article 20 – winding-up of an EDIC.
  • Article 21 – reporting by and control of an EDIC.

The only thing that is missing is that the Decision does not inform the public who the beneficial owners of the EDIC are and in which member state the beneficial owners will be registered.

 

More information:

  • Decision (EU) 2022/2481 of the European Parliament and of the Council of 14 December 2022 establishing the Digital Decade Policy Programme 2030: page; English version: html, pdf; NL: html, pdf.

 

Geplaatst in English - posts in English on this blog, Europa, Rechtspersonenrecht | Tags: , , , | 1 reactie

Privacyonderzoek naar socialmedia-monitoring door overheidsinstanties | AVG

Geplaatst op 7 maart 2023 door Ellen Timmer

Op security.nl las ik het bericht Privacyonderzoek naar socialmedia-monitoring door overheidsinstanties.

Toch wel zielig dat de overheid niet mag wat adtech [*], criminelen en trollen naar hartenlust doen en waar ze mee weg komen omdat er onvoldoende handhaving is.

 

[*] Advertentiebedrijven zoals Google, Meta/Facebook c.s.

Geplaatst in ICT, privacy, e-commerce | Tags: , , , , , | Plaats een reactie

Verslag van een overleg over WGS is ook relevant voor het bancaire sleepnet | plan van aanpak witwassen, Wwft

Geplaatst op 7 maart 2023 door Ellen Timmer

Het ministerie van Financiën denkt op dit moment na over de beantwoording van de vele vragen die zijn gesteld over het wetsvoorstel plan van aanpak witwassen.

Aanverwante thematiek is aan de orde bij het voorstel voor de Wet gegevensverwerking door samenwerkingsverbanden (WGS), dat nu bij de Eerste Kamer ligt. Lees het verslag [*], waarin uitgebreid wordt ingegaan op onder meer:

  • de vraag wanneer gegevens van burgers mogen worden verwerkt (verdenking of ander startpunt),
  • wanneer massasurveillance mag plaats vinden,
  • wanneer degenen die onderzocht worden worden geïnformeerd (ook als ze ten onrechte onderzocht zijn), zoals in de AVG voorgeschreven,
  • welk waarborgen er tegen discriminatie zijn bij het toepassen van risicoprofilering,
  • aanscherping regels inzake artificial intelligence,
  • hoe het zit met de waarborgen tegen onjuist gebruik, zoals doelbinding, dataminimalisatie,
  • hoe de risico-indicatoren bij de geautomatiseerde gegevens analyse worden getoetst,
  • hoe er zicht wordt gehouden op gebruikte IT-systemen,
  • of de capaciteit van de Autoriteit Persoonsgegevens voldoende is om tijdig te kunnen ingrijpen.

Dit zijn onderwerpen die ook voor het bancair sleepnet relevant zijn.

 

[*] Verslag van een schriftelijk overleg over de reactie op nadere adviezen over het wetsvoorstel Wet gegevensverwerking door samenwerkingsverbanden (WGS) (Kamerstuk 35447-21): pagina site Tweede Kamer, verslag.

 

Op dit blog staan berichten over de en over onder meer: , de in plan van aanpak witwassen, het en het in het algemeen.

Geplaatst in Bankrekening krijgen en behouden, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , , , , | Plaats een reactie

De fingerprintende bank

Geplaatst op 6 maart 2023 door Ellen Timmer

Onlangs is me opgevallen dat algemene informatiepagina’s van ING Bank niet meer toegankelijk zijn met mijn firefox browser. De bank maakte niet via een mededeling op de site duidelijk waarom ik geen toegang kreeg, ik kreeg alleen dit te zien:

 

 

Toen ik via een andere browser keek, kreeg ik de melding dat de site mij om toestemming voor browser fingerprinting vroeg:

 

 

Op twitter stelde ik vragen aan ING over fingerprinting, maar de medewerker achter het twitter account bleek niet op de hoogte:

 

 

Pas op 24 februari kwam ik toe aan een reactie en heb bovenstaande screenprints op twitter gezet. Ik heb de bank verzocht te stoppen:

 

 

maar luisteren ze?

 

Browser fingerprinting is riskant en wordt door veel banken ingezet, zogenaamd om veiligheidsredenen

Browser fingerprinting is een voor de gebruiker van een browser riskante activiteit, lees het artikel op de Consumentenbond website. Anoniem surfen is niet alleen van belang als bescherming tegen datagraaiende advertentiebedrijven. Het is ook essentieel om jezelf tegen criminelen en trollen te beschermen.

De Consumentenbank heeft onderzoek gedaan naar browser fingerprinting en heeft geconstateerd en dat veel Nederlandse banken (ABN Amro, ING, Rabobank, Regiobank en SNS) zich hier schuldig aan maken. De bond schrijft dat banken fingerprinting gebruiken in verband met de veiligheid van financiële transacties. Maar dan hoeft de bank die fingerprinting niet toe te passen op de algemene pagina’s van de site en kan volstaan met extra maatregelen (die ook meegedeeld horen te worden) in de internetbankieren-omgeving. Aldus ook de bond:

Mogelijk hebben de banken een speciale status waardoor ze het zonder toestemming mogen. Ze zijn volgens antifraudewetgeving namelijk verplicht om hun site extra goed te beveiligen. Maar bij abnamro.nl, ing.nl en rabobank.nl zien wij de fingerprinting ook op de homepage. Niet alleen bij het inloggen. Daar is geen veiligheidsargument voor.

 

Essentiële diensten horen cyber veilig te zijn

Bedrijven die essentiële diensten leveren, zoals financiële instellingen, energiebedrijven en dergelijke, horen zich stipt aan de AVG te houden en geen onveilige praktijken er op na te houden.

Dus geen browser fingerprinting van alle bezoekers van de site maar alleen dan wanneer het nodig en nuttig is. En geen vertrouwelijke communicatie met cliënten door middel van diensten van advertentiebedrijven [*], zoals whatsapp, Facebook, twitter en dergelijke.

Zou er een tijd komen dat het grootbedrijf maatschappelijk betamelijk gaat handelen? Ik blijf hopen.

 

[*] Zie in dat verband de brief met samenvatting van de Data Protection Impact Assessment (DPIA) die de rijksoverheid deed naar het gebruik van Facebookpagina’s. De redenen om Facebook niet te gebruiken zijn ook van toepassing op financiële instellingen en andere leveranciers van voor burgers essentiële diensten.

Geplaatst in Financieel recht, onder meer Wft, Wtt, ICT, privacy, e-commerce | Tags: , , , , , , , , | 1 reactie

Crime Scripting

Geplaatst op 5 maart 2023 door Ellen Timmer

Op linkedin zag ik een raadselachtig bericht over een mij onbekend fenomeen: ‘Crime Scripting‘. Zou dat zoiets zijn als de belscripts van commerciële medewerkers van bedrijven die aan telefonische colportage doen en mensen via een vast stramien iets proberen aan te smeren? Zou de crime scripters bezig zijn met interessante nieuwe criminele methoden? Ik vermoed het niet want het bericht is van iemand die bezig is met criminologie en politieonderzoek.
Eveneens raadselachtig is dat de auteur verwijst naar ‘de bijgevoegde call’, waarin ook iets te vinden is over ‘vormelijke vereisten’ (is dat Vlaams?). Hij lijkt een andere taal te spreken.

Geplaatst in Fraude, witwasbestrijding, Wwft, Strafrecht | Tags: , , | Plaats een reactie

Motie aangenomen over de effectiviteit van de privatisering van de criminaliteitsbestrijding | Wwft

Geplaatst op 5 maart 2023 door Ellen Timmer

Op 21 februari jl. heeft de Tweede Kamer tijdens een debat over het vestigingsklimaat in Nederland de volgende motie aangenomen over een evaluatie van de Wwft op doelmatigheid en effectiviteit:

constaterende dat de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) leidt tot onvoorziene problemen en zijn doel lijkt te missen;

verzoekt de regering om de Wwft te evalueren op doelmatigheid en effectiviteit,

 

Deze motie is aangenomen met voorstemmen van coalitiepartijen VVD, D66, CDA en Christenunie, dus daar is het kwartje gevallen:

 

Merkwaardig is dat PvdA en GroenLinks tegen hebben gestemd terwijl ook hun achterban schade ondervindt van de amateurrechercheurs van de private criminaliteitsbestrijding (ook bekend als ‘witwasbestrijding’).

Stop met geld over de balk gooien en leg het ook uit aan Europa en FATF
Het is hoog tijd dat ook deze partijen door krijgen dat criminaliteit natuurlijk moet worden bestreden, maar dan wel met de juiste methoden. Geld over de balk gooien door het te laten doen door ondeskundige private ondernemingen, zoals banken, met hun amateurrechercheurs (‘compliance medewerkers’, ‘AML/CFT-analisten’) heeft geen zin.

Geplaatst in Bankrekening krijgen en behouden, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce, Strafrecht | Tags: , , , , , | Plaats een reactie

Hoe financiële instellingen de AVG overtreden door kopieën van identiteitsbewijzen te lang en op onjuiste wijze te bewaren | Wwft, identificatie

Geplaatst op 4 maart 2023 door Ellen Timmer

Verificatie van de identiteit van je wederpartij – iets wat privaatrechtelijk al nodig is bij langer durende relaties – is tot een van de kernactiviteiten benoemd in de private criminaliteitsbestrijding (ook bekend als ‘witwasbestrijding’, gebaseerd op de antiwitwaswet Wwft).

Zeer zorgelijk is dat daarbij door financiële instellingen (FI’s) zonder grondslag in de Wwft wordt gehandeld, zie mijn eerdere artikelen [1], onder meer op het gebied van de bewaarplicht. Kenmerkend voor private criminaliteitsbestrijding is dat grondrechten van burgers worden geschonden door FI’s vanwege de controlebehoefte van de overheidstoezichthouders (DNB, AFM). Die overheidstoezichthouders lijken alleen aan zichzelf te denken, zo kan uit de recente Kifid-uitspraak [1] worden afgeleid.

Aan de risico’s voor de klanten wordt door de FI’s en DNB/AFM geen aandacht besteed.

Te lang bewaren

Opvallend in beide zaken is dat de FI’s veronderstellen dat zij de kopieën van identiteitsbewijzen (ID’s) zeer langdurig mogen bewaren. Als voorbeeld volgt hier een recente opgave door een Nederlandse grootbank:

 

Er wordt hier gesproken over een bewaartermijn van zeven jaar na het eindigen van de klantrelatie, terwijl in de Wwft staat dat de bewaartermijn van de gegevens van het Wwft-klantenonderzoek maar vijf jaar is [2]. Dus zeven jaar is zeker te lang. Zeven jaar is vermoedelijk de termijn uit het Burgerlijk Wetboek dat rechtspersonen de gegevens inzake hun vermogenstoestand moeten bewaren [3]. Daartoe behoren niet de ID’s van de klanten.

Nog erger is dat de kopie-ID niet bewaard hoeft te worden.

De Wwft schrijft geen kopie-ID voor

Bij de Wwft-termijn kan worden aangetekend dat de Wwft niet voorschrijft dat het kopie ID zo lang wordt bewaard, dat is uit deze bepaling af te leiden:

In lid 2 staat onder a. 1° dat bepaalde gegevens moeten worden geregistreerd (geslachtsnaam e.d.) of dat een kopie ID mag worden opgeslagen.  In onderdeel 2° staat dat bepaalde gegevens van het ID moeten worden geregistreerd.

Conclusie: de Wwft schrijft niet dwingend voor dat een kopie-ID moet worden opgeslagen en een beroep op ‘gerechtvaardigd belang’ zal de FI’s ook niet baten. Dat betekent dat de FI’s in het kader van hun dataminimalisatieplicht op grond van de AVG het kopie van de ID zo spoedig mogelijk moeten verwijderen en dat hun toezichthouders (DNB, AFM) hen daartoe in staat moeten stellen.

De FI’s kunnen hun klanten en daarbij betrokkenen wel vragen om toestemming voor het langdurig bewaren van ID’s, maar dienen zich te realiseren dat die toestemming kan worden ingetrokken.

Beveiligde kanalen

Opvallend is dat artikel 33 Wwft in leden 4 en 5 voorschrijft dat er beveiligde kanalen moeten zijn voor communicatie van de Wwft-plichtige met FIU-Nederland. Vreemd genoeg acht de wetgever die beveiligde kanalen niet nodig bij de communicatie met de klant.

Ernstige overtreding van de AVG

Hier is sprake van een ernstige overtreding van de AVG, zowel door de financiële toezichthouders als door de FI’s, die een handhavend optreden van de Autoriteit Persoonsgegevens (AP) rechtvaardigt.

Wellicht kan de AP dan ook aandacht besteden aan de te brede interpretatie door FI’s van het begrip ‘uiteindelijk belanghebbende’ (ubo), wat er toe leidt dat men ten onrechte persoonsgegevens van personen registreert die geen ubo zijn.

 

Noten

[1] Zorgelijk is dat zowel Kifid als de rechtbank onjuiste uitspraken hebben gedaan, zie de berichten over Kifid en de Rechtbank Amsterdam.

[2] Zie artikel 33 lid 3 Wwft: “Een instelling bewaart de in het eerste en tweede lid bedoelde gegevens op toegankelijke wijze gedurende vijf jaar na het tijdstip van het beëindigen van de zakelijke relatie of gedurende vijf jaar na het uitvoeren van de desbetreffende transactie.

[3] Artikel 10 boek 2 Burgerlijk Wetboek.

Geplaatst in Bankrekening krijgen en behouden, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , | Plaats een reactie

PubHubs as a non-profit, open source and value-driven online environment for public organizations (and not an alternative for adtech services)

Geplaatst op 4 maart 2023 door Ellen Timmer

Bart Jacobs and José van Dijck wrote a position paper on ‘PubHubs’, that according to them is not an alternative for the services by adtech companies (‘social media’):

PubHubs is not an alternative for Facebook, Twitter, Instagram, WhatsApp or TikTok because it does not aspire to build a global centralized network for individuals.

What PubHubs should be:

In sum, PubHubs offers a non-profit, open source and value-driven online environment for public organizations. It aims to enhance collectivity by strengthening civil society organizations and communities rooted in local and national connections, instead of promoting global connectivity, PubHubs wishes to co-create, together with its participating organizations and users, protected and managed online meeting places where people can safely interact, without data exploitation and profile-based manipulation. PubHubs is currently solidifying its basic architecture and infrastructure and plans to start prototyping in late 2023.

Geplaatst in English - posts in English on this blog, Grondrechten, ICT, privacy, e-commerce | Tags: , , | Plaats een reactie

De risico’s van een openbaar AI-register

Geplaatst op 3 maart 2023 door Ellen Timmer

In Computable verscheen het artikel SAS-experts wijzen op risico’s openbaar ai-register. Uit het artikel blijkt dat op de informatie in de huidige overheidsregisters inzake artificial intelligence het nodige is aan te merken. Teveel openbaarheid is in het voordeel van criminelen, zo denken de experts. Het artikel eindigt met:

Van Vlasselaer ‘De burger heeft het meest aan een op maat gesneden toelichting bij een bepaalde beoordeling: hoe is deze beslissing in mijn specifieke situatie tot stand gekomen, en wat is de rol van algoritmes hierin? Dat is een andere insteek dan ‘dit zijn de algoritmes, ga maar zoeken.’

In het Parool verscheen Amsterdam heeft geen goed overzicht van algoritmen met ‘hoog risico’: ‘Gevaar voor onjuiste of onterechte beslissingen voor burgers’.

Geplaatst in Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , | Plaats een reactie