Digital euro: Eurogroup statement and Slagter’s presentation at the National Privacy Conference of 25 January

Geplaatst op 22 januari 2023 door Ellen Timmer

On the site of the Council of the European Union on 16 January a statement of the Eurogroup on the digital euro project was published. According to the statement during the discussions in the EU the following issues were raised, in which the privacy concerns of citizens are mentioned:

  • A digital euro should complement, and not replace cash, and should guarantee access to central bank money for euro area users in times of increased digitalisation in payments [5]. A digital euro should be safe and resilient, ensure a high level of privacy, be easy and convenient to use and widely accessible to the public, including in terms of costs for end-users. Ministers also called for considering the environmental implications of the digital euro design.
  • To succeed, the digital euro should ensure and maintain users’ trust, for which privacy is a key dimension and a fundamental right. At the same time, the Eurogroup also considered that the design of a digital euro should comply with other policy objectives such as preventing money laundering, illicit financing, tax evasion, and ensuring sanctions compliance. A risk-based approach could be followed to allow for more privacy in the case of less risky transactions, which could ensure a wider adoption of the digital euro among citizens with a stronger preference for privacy. The Eurogroup also supports the exploration of an offline functionality which would serve a wider range of use cases and also contribute to financial inclusion by facilitating the use by citizens in different scenarios.
  • A digital euro should aim to safeguard the financial stability of the euro area. Potential risks to financial stability should be limited, for example by imposing holding limits and constraints in the design of the digital euro, while maintaining its attractiveness as a means of payment. The parameters of such features should be further analysed and discussed based on a thorough quantitative analysis and their implementation should take into account the prevailing economic and financial environment. The design and introduction of a digital euro should not impair the ability and the independence of the European System of Central Banks in ensuring monetary transmission in order to fulfil its price stability mandate.
  • Ensuring a pan-European reach of the digital euro whilst also catalysing innovation in the financial sector and complementarity with private solutions should be a priority. The digital euro ecosystem should leverage the strength and experience of public and private participants and build on European infrastructure. Whilst further work is needed on the precise allocation of competencies, we consider that supervised intermediaries could play an important role in the digital euro ecosystem.
  • The digital euro could be a building block of the future architecture for state-of-the-art payment solutions. To this end, it could allow for initiating a payment automatically when predefined conditions are met – meaning that users would be able to program payments. As money however, digital euro should at all times and throughout the euro area be convertible at par with other forms of the euro, such as banknotes and commercial bank deposits. The digital euro therefore cannot be a programmable money [6].
  • Appropriate regulatory measures, including granting the digital euro legal tender status, should be considered in order to ensure consistency with cash and to make digital central bank money widely accessible for retail use to all end-users in the euro area, whilst taking into account the distribution of the costs and required technologies.
  • The digital euro should focus as a priority on the needs and specificities of the euro area. Interoperability with other Central Bank Digital Currencies should be an important feature of the digital euro, including for cross-currency transactions. This will also take into account the development of CBDCs by other jurisdictions, in order to reap the potential benefits of faster, cheaper and safer cross-border transactions. On the other end, the risks associated with the use of a digital euro outside the euro area must be mitigated and monitored.

[5] See for instance the Study on the payment attitudes of consumers in the euro area (SPACE).
[6] There would for example be no restrictions in the types of goods and services to be purchased, or restrictions in time when a digital euro can be used.

According to the statement a high level of privacy should be ensured (first bullet).
The digital euro should ensure and maintain users’ trust, for which privacy is a key dimension and a fundamental right. At the same time the design should comply with other policy objectives such as preventing money laundering, illicit financing, tax evasion, and ensuring sanctions compliance (second bullet).
The Eurogroup states that users would be able to program payments, but that the digital euro “cannot be a programmable money” (fifth bullet).

Bert Slagter at the National Privacy Conference 2023

(Privacy First / ECP | Platform voor de InformatieSamenleving)

The digital euro is one of the subjects of the National Privacy Conference 2023 on 25 January. The conference is held in Dutch. Bart Slagter makes a presentation on the digital euro, that is introduced as follows (machine translation):

Bert Slagter presentation on Central Bank Digital Currency (CBDC) and privacy.
The ECB is building the digital euro. This is digital money issued by the central bank, and thus a digital variant of cash. But will it also have the pleasant features of cash, such as privacy, neutrality and inclusiveness? The two extremes of the spectrum make the most noise. One side says the digital euro is meant to restrict freedoms and influence behaviour, while the other thinks the digital euro is completely harmless – after all, the government has our best interests at heart. Who is right?
In this talk, we explore the different types of digital money, look at the preliminary design of the digital euro and discuss the implications for European citizens’ privacy.

 

More information:

Geplaatst in English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , | Plaats een reactie

Het is hoog tijd dat de internationale en Europese criminaliteitsbestrijdingsconcepten worden herzien | Wwft, AML, CFT

Geplaatst op 21 januari 2023 door Ellen Timmer

Op banken.nl verscheen het bericht ‘AML-kader toe aan paradigmaverschuiving’, over een rapport, in het bericht wordt Big 4 accountantskantoor Deloitte geciteerd met:

Hoewel financiële instellingen kosten nog moeite sparen om te voldoen aan hun poortwachtersfunctie, is het daadwerkelijke effect daarvan op de financiële criminaliteit teleurstellend

De privatisering van de criminaliteitsbestrijding, bekend onder de naam witwasbestrijding, leidt tot kostbare bureaucratie die zeer weinig oplevert. Het is hoog tijd dat al het geld dat bedrijven er nu in moeten steken beter wordt besteed.

Overigens is de vraag of de door Deloitte aangegeven oplossingen (onder meer AI) het wondermiddel zijn. Maar positief is dat de witwasbestrijdingsconcepten ter discussie worden gesteld, zoals ook gebeurd in het FD-artikel Machine tegen witwassen draait niet, waarin wordt gezegd:

Nagenoeg iedereen ziet dat de huidige aanpak van het antiwitwasapparaat niet werkt.

en waarin wordt geconstateerd dat een aantal praktijken uit het huidige systeem (zoals de enorme hoeveelheden persoonsgegevens die worden uitgewisseld) zeer riskant zijn voor de veiligheid, gegevensbescherming en privacy van burgers. Hoogleraar Eleni Kosta wordt in het artikel geciteerd met:

‘Het probleem is dat anti-witwaswetten niet geschreven zijn om mensenrechten, zoals het recht op privacy, te beschermen’

De Europese ontwerpers van het AML Package en de Nederlandse wetgever doen er goed aan hiervan kennis te nemen.

 

NB Let er op dat ‘privacy’ in dit verband vooral relevant is in de sfeer van zorgvuldige omgang met vertrouwelijke gegevens, gegevensbescherming en cybersecurity. Dat het soms nodig is op gegevens uit te wisselen voor de misdaadbestrijding, staat niet ter discussie.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , , , , | Plaats een reactie

Wet financiering politieke partijen ingrijpend gewijzigd | bijdragen in natura in de ban

Geplaatst op 20 januari 2023 door Ellen Timmer

In oktober werd bekend dat de Eerste Kamer een voorstel tot wijziging van de Wet financiering politieke partijen (Wfpp) heeft aangenomen, lees het nieuwsbericht. De wijzigingen zijn op 1 januari jl. in werking getreden en zijn ingrijpend.

Buitenlandverbod en ubo-registratie
Zo worden alle donaties uit het buitenland verboden (artikel 23a).
Partijen moeten als een donatie door een niet-natuurlijke persoon wordt gedaan de naam en het adres van de uiteindelijk belanghebbende in de zin van de Wwft worden geregistreerd, aldus artikel 21 (raadselachtig wat het nut daarvan is nu betrokkene ook in het ubo-register staat, tenzij de gever van buiten de EU komt).

Stichting of vereniging als donateur
Als de donateur een vereniging of stichting is, gelden extra regels (artikel 21a), waarbij bij mij de vraag rijst waarom die regels niet voor alle donateurs die geen natuurlijke persoon zijn gelden.

Bijdragen in natura (en de vernietiging daarvan)

Er gelden speciale regels voor bijdragen in natura door stichtingen en verenigingen en in artikel 21a lid 2 staat dat ten onrechte ontvangen bijdragen in natura aan de minister moeten worden overgemaakt of ‘vernietigd’ moeten worden. Het is een vreemde bepaling in het licht van de definitie van ‘bijdrage in natura’  die luidt:

bijdrage in natura: zaak of dienst, op verzoek van een politieke partij aan haar geleverd dan wel door deze aanvaard, waar geen of geen evenredige tegenprestatie tegenover staat

De definitie omvat ook ‘diensten’. Dus als de stichting of vereniging (door middel van een medewerker) gratis voor de politieke partij een uitvoerige paper schrijft en daar niets voor in rekening brengt, is dat een dienst in natura, die al snel meer waard zal zijn dan 1000 euro. Het is een raadsel hoe een dergelijke dienst ‘overgemaakt’ moet worden aan de minister dan wel vernietigd moet worden.

Alleen bijdrage in natura door een lid van de politieke partij is uitgezonderd
Opvallend is dat alleen leden van politieke partijen bijdragen in natura mogen leveren, zonder dat er een prijskaartje aan wordt gehangen. Want in artikel 22 lid 2 staat dat voor de toepassing van de Wfpp bijdragen bestaande uit persoonlijke arbeid of activiteiten van leden van de politieke partij niet als bijdragen in natura worden aangemerkt.

Bijdrage in natura in de Wfpp
Die bijdrage in natura komt in de Wfpp niet alleen bij stichtingen/verenigingen als gever voor (artikel 21a). Het begrip is ook te vinden in:

  • artikel 23 (anonieme bijdrage in natura)
  • artikel 23 (bijdrage in natura door een niet-Nederlandse gever)
  • artikel 29b (maximering bijdragen in natura)
  • artikel 32a (bijdragen in natura aan kandidaten)

Tot slot

Het is fascinerend en merkwaardig dat in de binaire wereld van politieke partijen alle vormen van ondersteuning in natura worden bemoeilijkt.

 

Meer informatie:

Eerste Kamer stemt in met wijziging Wet financiering politieke partijen
Nieuwsbericht | 18-10-2022 | 13:55

De Eerste Kamer heeft vandaag ingestemd met een wetsvoorstel tot wijziging van de Wet financiering politieke partijen (Wfpp). Hiermee wordt de transparantie over de financiering van politieke partijen en hun neveninstellingen verder vergroot. Daarnaast wordt het risico op oneigenlijke (buitenlandse) beïnvloeding van onze democratie beperkt. De wetswijziging gaat op 1 januari 2023 in.

Er komt een verbod op giften uit het buitenland aan politieke partijen en hun neveninstellingen. Uitzondering vormen giften van Nederlandse kiesgerechtigden die in het buitenland wonen. Aanleiding daarvoor is het toegenomen risico op buitenlandse beïnvloeding van onze democratie. Donateurs mogen straks giften van cumulatief maximaal € 100.000 per jaar aan politieke partijen en neveninstellingen geven. 

De transparantie wordt verder vergroot doordat politieke partijen verplicht worden van de giften die zij van rechtspersonen ontvangen de achtergrond van de uiteindelijk belanghebbenden te melden. Ook wordt de drempel om giften openbaar te maken verlaagd van € 4.500 per donateur per jaar naar € 1.000 per donateur per jaar. Verder komt er een meldplicht voor substantiële giften: giften vanaf € 10.000 per donateur per jaar moeten binnen 3 dagen na ontvangst openbaar gemaakt worden. 

Minister Bruins Slot benadrukt het belang van duidelijke regels: “Politieke partijen zijn een van de pijlers van onze democratie. Daarom is het belangrijk om zichtbaar te maken van wie politieke partijen geld ontvangen. Met het verbod op buitenlandse financiering maken we ook werk van het voorkomen van oneigenlijke beïnvloeding. Dit draagt bij aan een weerbare democratie.”

De wijzigingen aan de Wfpp komen voort uit adviezen van de commissie Veling en inbreng uit de Kamer.

 

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Stichting en vereniging | Tags: , | 1 reactie

Genomineerden Nederlandse Privacy Awards 2023 | Privacy First

Geplaatst op 19 januari 2023 door Ellen Timmer

Op 25 januari as. worden tijdens de Nationale Privacy Conferentie van ECP en Privacy First de jaarlijkse Nederlandse Privacy Awards uitgereikt.

Privacy First maakte bekend dat genomineerd zijn:

Geplaatst in ICT, privacy, e-commerce | Tags: , , , , , | Plaats een reactie

Europese uitspraak: burger mag weten wie zijn persoonsgegevens ontvangt | AVG, gegevensbescherming, ubo-register

Geplaatst op 19 januari 2023 door Ellen Timmer

Het Europese hof heeft een uitspraak gedaan die niet alleen van belang is voor advertentiebedrijven.

Feiten
Het betreft de uitspraak in de zaak van het Oostenrijkse postbedrijf in een zaak die aanhangig is gemaakt door iemand die ‘RW’ wordt genoemd. RW heeft aan het postbedrijf gevraagd om inzage van de door het bedrijf inzake hem opgeslagen persoonsgegevens en het verzocht om hem informatie te verstrekken over wie de ontvangers daarvan waren, voor het geval dat deze gegevens aan derden zijn meegedeeld. De Österreichische Post deelde aan RW dat zij als uitgever van telefoongidsen gebruik maakt van zijn persoonsgegevens en dat hij die persoonsgegevens voor marketingdoeleinden aanbiedt aan zakelijke klanten. Het postbedrijf heeft RW niet meegedeeld wie de concrete ontvangers van de gegevens waren.
Daar was RW het niet mee eens. Hij heeft een procedure aanhangig gemaakt en is bij de hoogste Oostenrijkse federale rechter (het Oberste Gerichtshof) beland die aan het Europese hof prejudiciële vragen heeft gesteld.

Het inzagerecht van artikel 15 lid 1 AVG
Deze zaak ging om de uitleg van artikel 15 lid 1 sub c AVG:

Artikel 15
Recht van inzage van de betrokkene
1.   De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en van de volgende informatie:
a) de verwerkingsdoeleinden;
b) de betrokken categorieën van persoonsgegevens;
c) de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;
d) indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
e) dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, alsmede het recht tegen die verwerking bezwaar te maken;
f) dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit;
g) wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;
h) het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene. (…)

Overwegingen van het Europese hof
Het hof overweegt dat de bepaling inzake inzage in de AVG moet wordt gelezen in het licht van het doel van de bepaling, nl. dat betrokkene in staat moet zijn na te gaan of zijn persoonsgegevens rechtmatig worden verwerkt en of de gegevens juist zijn, iets wat alleen mogelijk is als de ontvanger bekend is. Zie overwegingen 37-39:

37 In de vierde plaats heeft het Hof reeds geoordeeld dat de uitoefening van dit recht van inzage de betrokkene in staat moet stellen niet alleen na te gaan of de hem betreffende gegevens juist zijn, maar ook of deze rechtmatig worden verwerkt (zie naar analogie arresten van 17 juli 2014, YS e.a., C‑141/12 en C‑372/12, EU:C:2014:2081, punt 44, en 20 december 2017, Nowak, C‑434/16, EU:C:2017:994, punt 57), met name of zij zijn meegedeeld aan bevoegde ontvangers (zie naar analogie arrest van 7 mei 2009, Rijkeboer, C‑553/07, EU:C:2009:293, punt 49).
38 Dit recht van inzage is met name noodzakelijk om de betrokkene toe te laten in voorkomend geval een aantal rechten uit te oefenen, namelijk zijn recht op rectificatie van gegevens, op gegevenswissing („recht op vergetelheid”), en op beperking van de verwerking uit te oefenen, die hem respectievelijk door de artikelen 16, 17 en 18 AVG zijn toegekend (zie naar analogie arresten van 17 juli 2014, YS e.a., C‑141/12 en C‑372/12, EU:C:2014:2081, punt 44, en 20 december 2017, Nowak, C‑434/16, EU:C:2017:994, punt 57), alsook zijn in artikel 21 AVG neergelegde recht om bezwaar te maken tegen de verwerking van zijn persoonsgegevens en zijn in de artikelen 79 en 82 AVG neergelegde recht om zich tot de rechter te wenden wanneer hij schade lijdt (zie naar analogie arrest van 7 mei 2009, Rijkeboer, C‑553/07, EU:C:2009:293, punt 52).
39 Teneinde de nuttige werking te waarborgen van alle rechten die in het vorige punt van het onderhavige arrest zijn vermeld, dient de betrokkene in het bijzonder te beschikken over het recht om te weten wie de concrete ontvangers van zijn persoonsgegevens waren, wanneer deze gegevens reeds aan derden zijn meegedeeld.

Dat betekent dat de betrokkene recht heeft te weten aan wie de persoonsgegevens zijn verstrekt:

41 Aldus verleent artikel 19, tweede volzin, AVG de betrokkene uitdrukkelijk het recht om door de verwerkingsverantwoordelijke te worden geïnformeerd over de concrete ontvangers van de hem betreffende gegevens, in het kader van de verplichting van deze laatste om alle ontvangers te informeren over de uitoefening van de rechten waarover deze persoon op grond van artikel 16, artikel 17, lid 1, en artikel 18 AVG beschikt.

Op dit uitgangspunt zijn uitzonderingen mogelijk (overwegingen 48 en 49). Het is aan de Oostenrijkse rechter om te beoordelen of dat in deze zaak het geval is.

De conclusie van het hof luidt daarom:

Het Hof (Eerste kamer) verklaart voor recht:

Artikel 15, lid 1, onder c), van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming)

moet aldus worden uitgelegd dat

het in die bepaling bedoelde recht van de betrokkene om inzage te verkrijgen van de hem betreffende persoonsgegevens, meebrengt dat de verwerkingsverantwoordelijke, wanneer die gegevens aan ontvangers zijn of zullen worden verstrekt, verplicht is om aan de betrokkene de identiteit van deze ontvangers mee te delen, tenzij het onmogelijk is om die ontvangers te identificeren of wanneer de verwerkingsverantwoordelijke aantoont dat de verzoeken om inzage van de betrokkene kennelijk ongegrond of buitensporig van aard zijn in de zin van artikel 12, lid 5, verordening 2016/679, in welke gevallen de verwerkingsverantwoordelijke alleen de categorieën van de betreffende ontvangers hoeft mee te delen aan die betrokkene.

Betekenis voor andere situaties
Deze uitspraak is niet alleen relevant voor advertentiebedrijven, ook al ging het hier om verkoop van persoonsgegevens door de Oostenrijkse post voor marketingdoelen.

In de praktijk worden er door allerlei bedrijven persoonsgegevens aan derden verschaft, zonder dat de betrokkenen worden geïnformeerd, terwijl dit op grond van artikel 14 lid 1 AVG (te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen) verplicht is. De enige manier voor betrokkene om er achter te komen wie zijn persoonsgegevens hebben ontvangen, is door aan het bedrijf (zoals het postbedrijf, het telecombedrijf) op basis van artikel 15 lid 1 sub c AVG te geven aan wie de persoonsgegevens zijn verstrekt.

Deze problematiek kan ook spelen bij data handelaren die persoonsgegevens verzamelen en verkopen in verband met kredietbeoordeling en criminaliteitsbestrijding (‘witwasbestrijding’).

Ubo-register-regelgeving
Deze uitspraak kan ook relevant zijn voor de Europese en nationale ubo-register-regelgeving, aangezien deze regelgeving aan de vereisten van de AVG, het Europees Handvest en het EVRM dient te voldoen. In die regelgeving wordt er van uitgegaan dat private partijen en personen informatie kunnen krijgen uit het ubo-register, zonder dat de ubo mag weten bij wie zijn persoonsgegevens zijn beland.

Anders gezegd: de ubo heeft volgens de ubo-register-regels niet de basisrechten om te worden geïnformeerd door de derde die zijn persoonsgegevens verwerkt (artikel 14 lid 1 AVG) en kan ook niet bij de houder van het register opvragen aan wie zijn gegevens zijn verstrekt (artikel 15 lid 1 sub c AVG). Die ubo heeft echter hetzelfde belang als iedere burger bij transparantie, zodat hij kan verifiëren of zijn persoonsgegevens op goede gronden worden verwerkt en of de gegevens juist zijn.

 

Meer informatie:

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce, Ubo-register | Tags: , , , , , | Plaats een reactie

Reacties op het bancair sleepnet en ervaringen met criminaliteitsbestrijding door banken | Wwft

Geplaatst op 19 januari 2023 door Ellen Timmer

In dit blogbericht breng ik wat kritische reacties op het bancair sleepnet bij elkaar.

Inleidende informatie over het sleepnet:

# mijn eerste artikel over het wetsvoorstel waarvan het sleepnet deel uitmaakt,
# mijn artikel over het sleepnet.

 

Reacties

 

Fleur le Roy
(advocaat strafrecht en bestuursrecht) publiceerde een kritische opinie in het FD van 13 januari, Privacy op de tocht door nieuwe witwasaanpak (ook vermeld in Advocatie). Zij merkt onder meer op:

Het gevreesde onheil zit onder meer in de massale schaal van de gegevensverwerking en het feit dat gegevensbeveiliging nooit 100% kan worden gegarandeerd. Ook zien de instanties het gevaar dat geautomatiseerde profilering leidt tot discriminatie, met onterechte alerts, plaatsing op een zwarte lijst en uitsluiting tot het reguliere bankwezen tot gevolg.
De Toeslagenaffaire laat zien wat dit kan aanrichten. Bovendien laat het wetsvoorstel het treffen van passende maatregelen ter bescherming van grondrechten aan marktpartijen over, terwijl dit een taak van de overheid is. Kortom, het wetsvoorstel staat een verhit Kamerdebat te wachten.

 

Bert Hubert
(technisch expert) schreef op 24 december kritisch over de kabinetsplannen inzake het bancair sleepnet in zijn artikel Vervang vergeten verontwaardiging over privacyschendingen door inhoudelijke analyse (al eerder hier aangekondigd, er stond een variant in de Volkskrant) en constateert:

Oude normen voor privacy lijken geheel verdwenen. In de jaren tachtig zou niemand het in zijn hoofd hebben gehaald om met dit soort voorstellen te komen.

Hubert, die voormalig toezichthouder AIVD en MIVD is, maakt zich zorgen, want:

Ook een overheid met de beste bedoelingen kan door te grote bevoegdheden op het verkeerde pad raken

 

Vincent Böhre
van Privacy First schreef een opinie in het Brabants Dagblad van 17 december: Door ‘sleepnet’ banken is iedere burger verdacht (betaalmuur, al eerder aangekondigd), intro:

In de strijd tegen criminaliteit wil het kabinet banken de mogelijkheid geven om particuliere transacties boven de 100 euro te controleren. Maar misdaadbestrijding hoor je niet bij amateurs neer te leggen maar dient door de overheid zelf te worden uitgevoerd.

 

Kees Verhoeven, voormalig lid van de Tweede Kamer (site), 13 december:

 

Simon Hania (profiel bij Netkwesties), 13 december:

 

Rob de Wijk, de bekende defensie expert (info HCSS), 12 december:

 

Privacy First
(privacy voorvechter) stuurde op 2 december aan het parlement een kritische brief onder de titel ‘Misdaadbestrijding is niet gediend met bancair sleepnet en navraagplicht‘ en een memo met een uitgebreide reactie.

 

De Bont
(advocatenkantoor) publiceerde op 15 november 2022 het artikel Plan van aanpak witwassen? U bedoelt Plan van uitsluiting financieel systeem!

 

Aanvulling 2 februari 2023
Het onderwerp is ingewikkeld voor de gewone media. Toch is er wat aandacht voor de criminaliteitsbestrijding door banken, bijvoorbeeld bij RTL Nieuws. Op 31 januari verscheen daar het artikel Opeens geblokkeerd door je bank: ‘We konden niets meer betalen’.

In de Telegraaf stond het artikel, ‘Rekening geblokkeerd na gift aan kleinzoon, bank belooft beterschap’, over grootouders die hun boodschappen niet meer konden betalen nadat zij geld overmaakten voor hun kleinzoon die geen Nederlandse naam heeft.

Mensen die dit soort problemen ondervinden met de amateur-misdaadbestrijders van banken willen er vaak niet over praten. Een van mijn contacten schreef nadat ik een oproep deed ervaringen te melden:

Dit kreeg ik terug van een particulier:

“Oh wat goed dat ze dat doet! Wij zitten nog midden in de zaak en komen er liever niet mee naar voren dus ik sla qua verhaal doen even over”

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , , , | Plaats een reactie

Privacy First gaat aan de slag met de data delende auto | AVG, cybersecurity, privacy

Geplaatst op 18 januari 2023 door Ellen Timmer

Privacy First maakte bekend dat zij duikt in de wereld van connected cars. De nieuwe ‘slimme’ auto’s zijn computers op wielen, waarover Privacy First schrijft:

Inmiddels zijn we decennia verder en lijken auto’s met name onderhuids nog maar weinig op hun voorgangers. Nieuwe exemplaren zijn vaak elektrisch en beschikken over allerlei rijhulpsystemen (Advanced Driver-Assistance Systems), waarvan er om veiligheidsredenen inmiddels een flink aantal door de EU verplicht is gesteld. Denk aan noodremsystemen, rijbaanassistentie en automatische snelheidsbeperking.

Autotechniek schrijdt logischerwijs voort, maar er is één ontwikkeling in het bijzonder die ten aanzien van autogebruik en mobiliteit zorgt voor radicale verandering: verbinding met het internet. Alle modellen die nu worden gefabriceerd, zijn voorzien van een simkaart en staan te boek als ‘connected’. Het aantal ‘connected cars’ groeit gestaag: in de meeste (Westerse) landen zullen ze binnen enkele jaren in de meerderheid zijn. Dat levert een schat aan nieuwe mogelijkheden op.

Als het aan fabrikanten en overheden ligt worden voertuigen een integraal onderdeel van het Internet of Things. Binnen dat internet der dingen, dat volop in ontwikkeling is, wisselt een oneindig aantal objecten, apparaten en systemen gegevens met elkaar uit. Connected cars staan in verbinding met elkaar (Vehicle-to-Vehicle, V2V), hier en daar al met infrastructuur zoals stoplichten (Vehicle-to-Infrastructure, V2I) en op den duur, zo is de bedoeling, al het andere waarmee een connectie wenselijk of noodzakelijk is (Vehicle-to-Everything, V2X). Dat kunnen ook de smartphones of smartwatches van voetgangers zijn (Vehicle-to-Pedestrians, V2P).

Dergelijke vormen van communicatie moeten van steden slim-opererende omgevingen maken (smart cities). Connected cars moeten daarnaast zorgen voor meer verkeersveiligheid, efficiëntere routes, minder files, zuiniger rijden en trivialer zaken zoals het makkelijker kunnen vinden van een parkeerplaats. Comfort, gebruiksgemak en efficiëntie voeren de boventoon, maar voor de automobilist is er ook een keerzijde.  

Grote hoeveelheden data die moderne auto’s genereren (tot wel 25Gb per uur) worden regelrecht of via een tussenpartij teruggestuurd naar de fabrikant, zij het soms met enige vertraging. Connected cars, ook wel smart cars genoemd, staan namelijk eerst en vooral in contact met wat vaak wordt aangeduid als de Original Equipment Manufacturers (‘OEMs’). Dat gebeurt met het oog op het monitoren van prestaties, (voorspelbaar) onderhoud, software-updates (steeds vaker over the air) en algehele productverbetering.

Het gaat echter niet alleen om technische data zoals oliepeil, motortemperatuur, brandstofverbruik, en kilometerstand, óók persoonsgegevens (personally identifiable information, PII) worden verzameld. In veel gevallen is dat niet zozeer uit noodzaak, als wel om commerciële redenen. Lang niet iedere automobilist is hiervan op de hoogte. De door autofabrikanten ontwikkelde telefoonapps om op de hoogte te blijven van de algehele status van een auto, blijken eveneens meer persoonlijke data te verzamelen dan nodig. Daarmee is de auto het zoveelste instrument geworden dat de privacy van honderden miljoenen mensen onder druk zet. De beeldspraak is inmiddels wat afgezaagd, maar de nieuwste auto’s kan je met recht smartphones op wielen noemen. 

Voorkeurinstellingen, rijgedrag, routes, GPS-locaties, bestemmingen, tijdstippen, camerabeelden van binnen en buiten de auto, allerlei gevoelige informatie uit je telefoon die is aangesloten op de boordcomputer evenals bijvoorbeeld gezondheids- en biometrische gegevens kunnen immers allemaal worden bijgehouden en verzameld.

Dergelijke informatie is waardevol en daarom gewild. In algemene zin geldt: hoe meer relevante voertuigdata, hoe groter winsten van fabrikanten in potentie kunnen uitvallen. Consultancybedrijf Capgemini schat dat de markt van voertuigdata in 2030 wereldwijd tot wel 800 miljard dollar waard kan zijn. Naar verwachting levert de vergaarde data over enkele jaren meer op dan regulier onderhoud. Het zijn echter niet alleen de automerken die op voertuigdata azen.

De fabrikanten worden omringd door een web van toeleveranciers en bedrijven gespecialiseerd in software, infotainment, telematics, telecommunicatie en dataverwerking en -analyse. Ook importeurs, dealers, secundaire marktpartijen zoals garagehouders (de aftermarket), verhuurbedrijven en bijvoorbeeld verzekeraars maken onderdeel uit van dit ecosysteem. Deze partijen werken samen, zijn van elkaar afhankelijk maar zijn met tegengestelde belangen soms ook met elkaar in concurrentie. Gemene deler is dat iedereen een graantje wil meepikken van de lucratieve (persoons)gegevens die voertuigen genereren.

Over dit thema is Privacy First een project gestart, waarmee ze meer inzicht willen krijgen in de machtsverhoudingen en de praktijk van de grootschalige dataververgaring door de auto-industrie en de ‘nieuwe’ verdienmodellen die ontstaan.

In het uitvoerige artikel wordt beschreven dat het onderwerp al in de aandacht staat en dat de AVG-risico’s (onder meer privacy, gegevensbescherming) groot zijn.

Privacy First besluit met te melden dat zij zich zullen concentreren op de vraagstukken die ontstaan door het ‘connected’ zijn van auto’s. Daarover zullen zijn op een speciale pagina publiceren.

Security.nl schreef over het project en maakte melding van recent ontdekte beveiligingsproblemen:

Vorige week lieten beveiligingsonderzoekers nog zien hoe auto’s van Kia, Honda, Infiniti, Nissan en Acura alleen met behulp van een VIN-nummer op afstand zijn te openen en starten. Verder ontdekten de onderzoekers andere kwetsbaarheden waardoor het mogelijk was om gegevens van eigenaren van Toyota, Ford, Jaguar, Land Rover en Porsche te achterhalen.

 

Aanvulling 18 april 2024
Zie ook Cory Doctorow die schreef: Your car spies on you and rats you out to insurance companies.

Geplaatst in ICT, privacy, e-commerce | Tags: , , , , , , | Plaats een reactie

Verbetering van de wetgevingskwaliteit, wanneer worden de goede voornemens in handelen omgezet?

Geplaatst op 18 januari 2023 door Ellen Timmer

Vandaag vestigde ik de aandacht op het onuitvoerbare wetsvoorstel inzake maatschappelijk verantwoord ondernemen, een en ander terwijl uitvoerbaarheid een eis van wetgevingskwaliteit is.

Raad van State is bezorgd
De Afdeling advisering van de Raad van State heeft zorgen over de wetgevingskwaliteit en stuurde in april 2021 een brief aan de (toen) demissionair minister-president, met de volgende aanbevelingen:

  • Maak de departementaal belegde verantwoordelijkheid voor het wetgevingsproces waar
  • Maak nieuw wetgevingsbeleid
  • Geef uitvoeringsorganisaties een eigen rol en plaats in het wetgevingsproces
  • Beschrijf in het regeerakkoord de ‘wat’-vraag en niet de ‘hoe’-vraag
  • Het is dringend gewenst dat het parlement als medewetgever meer tijd en aandacht besteden aan het behandelen van wetsvoorstellen en de gevolgen daarvan voor de uitvoering

Brief 16 december 2022
Recent schreef de minister van Rechtsbescherming een brief aan de Tweede Kamer over de ‘Staat van de wetgevingskwaliteit’. Daarin worden de eisen die aan regels moeten worden gesteld als volgt samengevat (markering door mij):

Al vele jaren is het wetgevingskwaliteitsbeleid erop gericht te verzekeren dat wetgeving rechtmatig, doelmatig en doeltreffend is en dat rechtsbeginselen worden verwerkelijkt. Wetgeving moet beantwoorden aan de vereisten van subsidiariteit en evenredigheid en uitvoerbaar en handhaafbaar zijn. Er wordt gestreefd naar samenhang in en afstemming tussen wetgevingsfamilies. Ook moet de wetgeving eenvoudig, duidelijk en toegankelijk zijn. In het coalitieakkoord is bovendien benadrukt dat wetgeving rekening moet houden met de menselijke maat.

Het is te hopen dat er in Nederland eindelijk werk wordt gemaakt van wetgevingskwaliteit.

 

Meer informatie:

  • Brief van 16 december 2022 aan de Tweede Kamer de minister van Rechtsbescherming over de ‘Staat van de wetgevingskwaliteit’.
  • Afdeling advisering van de Raad van State, bericht ‘Aan­be­ve­lin­gen om het wet­ge­vings­pro­ces en de wetgevingskwaliteit te be­vor­de­ren, brief.

 

Aanvulling 23 januari 2023

Ambtelijke onrust
Lees in verband met wetgevingskwaliteit ook:

In het artikel van 16 januari staat onder meer:

Het effect: bewindspersonen die in korte tijd moeten leveren én zichzelf profileren. Snelheid is volgens de twee zó belangrijk geworden dat het onderzoeken van de risico’s van beleid in het gedrang komt.

Uitvoerbaarheidstoets
Op 20 januari maakte het kabinet bekend: Uitvoerbaarheidstoets helpt overheden bij maken van realistisch beleid.

Uitvoerbaarheidstoets helpt overheden bij maken van realistisch beleid
Nieuwsbericht | 20-01-2023 | 14:45

Ministeries, gemeenten, provincies en waterschappen kunnen vanaf nu gebruik maken van de Uitvoerbaarheidstoets Decentrale Overheden (UDO) om vooraf te toetsen of nieuwe beleidsplannen en wetsvoorstellen uitvoerbaar zijn door decentrale overheden. Dit moet hen helpen bij het maken van realistisch beleid voor de aanpak van maatschappelijke opgaven. De UDO is een van de onderdelen van de Actieagenda Sterk Bestuur, die minister Bruins Slot van Binnenlandse Zaken en Koninkrijksrelaties naar de Tweede Kamer heeft gestuurd.

Minister Bruins Slot: “Geen overheid kan de grote opgaven van deze tijd in haar eentje het hoofd bieden. Dat moeten we samen doen: Rijksoverheid, gemeenten, provincies en waterschappen. Maar beleidsplannen en wetten kunnen nog zo goed bedoeld zijn, ze zijn weinig waard als ze niet uitvoerbaar blijken. Met de Actieagenda Sterk Bestuur leggen wij als overheden duidelijker vast wie wat doet, en richten we ons op plannen die haalbaar zijn.”

De Actieagenda bevat meerdere onderdelen die gericht zijn op het verbeteren van de samenwerking tussen Rijksoverheid en de decentrale overheden. Het bevat een geactualiseerde versie van de Code Interbestuurlijke Verhoudingen, waarin de overheden vastleggen hoe ze samenwerken. In het ontwikkelen van beleid helpt een nog op te zetten beleidskader decentraal bestuur bij het bepalen van welke overheid welke taak op zich neemt.

Uitvoerbaarheidstoets Decentrale Overheden
Als een ministerie beleid maakt dat decentrale overheden raakt, helpt de UDO bij het vormgeven van dat proces. Het gaat daarbij om vragen over uitvoerbaarheid: hoe kunnen gemeenten, provincies en/of waterschappen dit beleid goed uitvoeren? Sluit de taak aan op hun bestaande takenpakket en hun deskundigheid? En krijgen ze er genoeg middelen voor van de Rijksoverheid?

Het doel van de UDO is om ervoor te zorgen dat elk ministerie deze stappen tijdig, zorgvuldig en samen met de relevante medeoverheden doorloopt.

Code Interbestuurlijke Verhoudingen
De Code Interbestuurlijke Verhoudingen van de Vereniging Nederlandse Gemeenten, het Interprovinciaal Overleg, de Unie van Waterschappen en het Rijk legt vast hoe overheden samenwerken. Bijvoorbeeld: als er op Europees niveau beleid wordt ontwikkeld dat effect heeft op gemeenten, is de afspraak dat de Rijksoverheid de gemeentes daarbij betrekt. Waar de oude Code eerder afbakende welke overheid wat moest doen, is de nieuwe code meer gericht op samenwerking bij het oplossen van maatschappelijke uitdagingen. Waarbij elke overheidslaag bijdraagt waar dat nodig is.

Documenten

Kamerbrief over actieagenda Sterk Bestuur
Minister Bruins Slot (BZK) informeert de Tweede Kamer over de actieagenda Sterk Bestuur. Eenzelfde brief is naar de Eerste Kamer …
Kamerstuk: Kamerbrief | 20-01-2023

Er wordt verwezen naar een brief van de minister. Bij deze brief horen een groot aantal bijlagen:

Code Interbestuurlijke Verhoudingen
De Code Interbestuurlijke Verhoudingen bevat afspraken die bijdragen aan een goed samenspel tussen overheden, waarin zij hun …
Rapport | 20-01-2023

Handleiding Uitvoerbaarheidstoets Decentrale Overheden
De handleiding voor de Uitvoerbaarheidstoets Decentrale Overheden (UDO) bevat een gezamenlijk proces voor Rijk en koepels waarbij …
Rapport | 20-01-2023

Normenkader Interbestuurlijke verhoudingen
Het kader bevat normen voor Interbestuurlijke Verhoudingen en vormt het toetsingskader voor de Uitvoerbaarheidstoets Decentrale …
Rapport | 20-01-2023

Regionale samenwerking en gemeenteraden
Een samenvattend onderzoek naar de legitimiteit, effectiviteit en doelmatigheid van regionale samenwerkingsverbanden.
Rapport | 30-09-2022

Eindrapportage Regio Deal Lab Governance 2019-2022
Deze 3e rapportage vormt de eindrapportage van het traject gericht op de governance van de Regio Deals en identificeert en …
Rapport | 05-08-2022

Eindverslag Dialoogsessies Beleidskader Decentraal Bestuur
Eindverslag op basis van 5 dialoogsessies decentraal bestuur. In de sessies werd met aanwezigen over de mogelijke meerwaarde en …
Rapport | 15-07-2022

Beslisnota bij Kamerbrief over actieagenda Sterk Bestuur
In een beslisnota staat achtergrondinformatie die bewindspersonen gebruiken bij de besluitvorming over een Kamerstuk.
Beleidsnota | 20-01-2023

 

Het zal me benieuwen of de ministeries van Financiën en Veiligheid, verantwoordelijk voor de onuitvoerbare witwasbestrijdingsregels, zich hier iets van aan trekken.

Ambtseed
Op 20 januari verscheen een bericht over de nieuwe ambtseed, met kop die suggereert dat ambtenaren dit niet doen: Ambtseed rijksambtenaren wijzigt: meer nadruk op werken in het algemeen belang voor onze samenleving.

 

Aanvulling 2 februari 2023

Zie op digitale overheid het bericht Complexiteit probleem bij publieke dienstverlening.

Op 1 februari 2023 verscheen het antwoord op kamervragen: Antwoord op vragen van het lid Leijten over de brandbrief van 50 topambtenaren over de verhouding tussen politiek en ambtenarij.

 

Aanvulling 12 april 2023

In het NRC verscheen het door Guus Valk geschreven artikel: ‘Den Haag begrijpt niet hoe keuzes lokaal doorwerken, ziet de burgemeester. Dit zijn zes bestuurlijke lessen

Geplaatst in Grondrechten | Tags: , , , | 2 reacties

Een wetsvoorstel over maatschappelijk ondernemen waarvoor de indienende leden van de Tweede Kamer zich moeten schamen

Geplaatst op 18 januari 2023 door Ellen Timmer

Vandaag vindt een rondetafelgesprek plaats over een initiatiefwetsvoorstel waarvoor de indieners, Van der Graaf, Jasper van Dijk, Thijssen, Van der Lee, Koekkoek en Hammelburg, zich diep moeten schamen omdat het onuitvoerbaar is. Het betreft het voorstel voor de ‘Wet verantwoord en duurzaam internationaal ondernemen‘. Goede bedoelingen rechtvaardigen geen slechte regels!

De voorgestelde verplichtingen voor mkb-ondernemingen zijn al onmogelijk, daar schreef ik al over, en van het grootbedrijf wordt nog meer verwacht.

Het rondetafelgesprek is gepland van 10 tot 15 uur. Nadere informatie is te vinden op de pagina op de site van de Tweede Kamer.

 

[*] Officieel: “Voorstel van wet van de leden Van der Graaf, Jasper van Dijk, Thijssen, Van der Lee, Koekkoek en Hammelburg houdende regels voor gepaste zorgvuldigheid in waardeketens om schending van mensenrechten en het milieu tegen te gaan bij het bedrijven van buitenlandse handel (Wet verantwoord en duurzaam internationaal ondernemen)”.

Geplaatst in Grondrechten, Handelsrecht, Internationale handel | Tags: , , | Plaats een reactie

European Digital Rights and Principles

Geplaatst op 17 januari 2023 door Ellen Timmer

On 15 December 2022 the European Declaration on Digital Rights and Principles was signed, read the press release.

It will  be interesting to see whether the new European anti-money laundering (AML) rules as proposed in the AML Package comply with these principles.

Geplaatst in English - posts in English on this blog, Europa, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , | Plaats een reactie