Adverteerders kijken mee als je online je e-mailadres invult

Geplaatst op 25 oktober 2022 door Ellen Timmer

Het artikel verscheen in mei bij de NOS maar blijft nuttig: Adverteerders kijken mee als je online je e-mailadres invult door Joost Schellevis. Er wordt melding gemaakt van de uitkomsten van een onderzoek door de Nederlandse Radboud Universiteit in samenwerking met een Belgische en Franse universiteit. Er staat onder meer:

Voor gebruikers moet namelijk duidelijk zijn wat er met hun persoonsgegevens, zoals een e-mailadres, gebeurt. Maar dat is het in de praktijk niet: zelfs nog voordat je je e-mailadres naar een website hebt verzonden, is het al doorgestuurd naar de ‘volgbedrijven’. Terwijl je het intypt kijken ze mee, stelden de onderzoekers vast.

De onderzoekers zeggen dat ze denken dat ook andere gegevens zoals geboortedatum en naam worden doorgestuurd, maar dat ze geen tijd hadden om dat ook te onderzoeken.

Het geeft aan dat ‘scraping’ en andere gelijksoortige praktijken een groot risico zijn voor mensen.

Ik heb zelf twee maal een dergelijke ervaring met een bepaalde Nederlandse website: na het invullen van gegevens op de site kreeg ik marketing e-mail van een ander, een advertentiebedrijf. Toen ik de website eigenaar aanschreef, ontkende hij dat hij mijn e-mail adres aan advertentiebedrijven had gegeven. Ik heb de eigenaar op het NOS-artikel geattendeerd en hij heeft beloofd te kijken of er technische maatregelen kunnen worden genomen.

Geplaatst in ICT, privacy, e-commerce | Tags: , , , | Plaats een reactie

Integriteitstoetsing identificatiemiddelenaanbieders ontbreekt in Regeling nadere eisen toelating identificatiemiddelen WDO

Geplaatst op 24 oktober 2022 door Ellen Timmer

In de consultatie over de Regeling nadere eisen toelating identificatiemiddelen WDO heb ik de volgende reactie gegeven:

Geachte dames en heren,

Het is een goede zaak dat er technische eisen worden gesteld aan de private aanbieders van inlogmiddelen (identificatiemiddelen). Ik heb daar wel een vraag over.

Tijdens een eerdere consultatie heb ik al eens een reactie gegeven, zie https://ellentimmer.com/wp-content/uploads/2019/06/consultatie-reactie-timmer-bzk-digitale-overheid.pdf, waarin ik heb gevraagd welke maatregelen u neemt om de integriteit en vakbekwaamheid van de beleidsbepalers van de private organisaties te toetsen.
In de ter consultatie aangeboden documentatie kom ik nergens tegen hoe u er voorkomt dat een private aanbieder van inlogmiddelen in handen van een crimineel komt. Verder vraag ik mij af hoe u er voor zorgt dat digitale aanbieders met grote marktmacht (zoals advertentiebedrijven Meta/Facebook en Google) aanbieder van identificatiemiddelen worden en er in slagen om via die weg de profielen die zij van de hele wereldbevolking te hebben te ‘verrijken’ met extra gegevens.
In de financiële sector is het heel normaal dat de beleidsbepalers, aandeelhouders en uiteindelijk belanghebbenden van financiële instellingen diepgaand worden getoetst door de toezichthouder. Waarom gebeurt dat hier niet en kan de aanbieder volstaan met een uittreksel uit het handelsregister?

Graag verzoek ik u in de definitieve documentatie specifiek toe te lichten hoe u voorkomt dat machtige digitale bedrijven en criminelen zich meester maken van de de door aanbieders van private identificatiemiddelen verwerkte persoonsgegevens van Nederlandse burgers.

Met vriendelijke groet,
Ellen Timmer
https://ellentimmer.com/

 

Over mijn eerdere consultatiedeelname in 2019 schreef ik dit bericht.

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , | Plaats een reactie

De verdachte consument: bancair sleepnet over alle consumentenbetalingen van 100 euro of meer | Wwft, surveillance, TMNL

Geplaatst op 24 oktober 2022 door Ellen Timmer

Het bancaire sleepnet dat het kabinet afgelopen vrijdag door middel van een wetsvoorstel heeft voorgesteld (vindplaatsen hier) is om diverse redenen interessant. De bedoeling is dat het samenwerkingsverband van de banken, Transactie Monitoring Nederland (TMNL), alle transacties van consumenten gaat analyseren.

Dit geldt alleen niet voor transacties onder 100 euro tussen consumenten onderling en financiële transacties van consumentenrekeningen naar zakelijke rekeningen. De uitzonderingen staan in artikel 34b lid 4 van het voorstel:

4. In afwijking van het derde lid geldt voor transacties tot €100 dat;
a. transacties tussen particuliere personen niet binnen de gezamenlijke voorziening gecombineerd worden;
b. bij transacties tussen een particulier persoon en een zakelijke rekening, van de particuliere persoon alleen het IBAN-nummer, het BIC-nummer en de landencode binnen de gezamenlijke voorziening verwerkt worden.

Dat betekent dat alleen kleine pinbetalingen van consumenten aan bedrijven en aan andere consumenten niet voor het opsporen van misdaad gebruikt worden. Deze uitzondering geldt niet voor bijvoorbeeld rekeningen van eenmanszaken en vennootschappen onder firma.

In de memorie van toelichting wordt gezegd dat met deze uitzonderingen “60-70% van de transactiegegevens van particuliere cliënten en ongeveer 5% van alle transacties” niet door TMNL worden verwerkt. Dat klinkt bijzonder en als dat waar is kan dat alleen maar komen door pinbetalingen van consumenten voor dagelijkse uitgaven. Er blijft dan nog meer dan genoeg over voor het maken van profielen van iedere Nederlandse burger.

Consumenten zijn een hoog risico witwassen en terrorismefinanciering denkt het kabinet
Het valt op dat in de memorie van toelichting staat dat het dringend noodzakelijk is dat de BSN’s van alle Nederlanders met rekeningen bij banken door TMNL moeten worden verwerkt, wat aangeeft dat het kabinet veronderstelt dat er zeer veel door consumenten wordt witgewassen en terrorisme gefinancierd. Het is jammer dat het kabinet dit niet nader toelicht.

Als oplettende burgers zou je namelijk verwachten dat banken op zoek moeten naar Russische oligarchen en naar boefachtige grote bedrijven die belasting ontduiken en rechten van burgers schenden.

In de memorie van toelichting wordt uitgelegd dat TMNL het BSN nodig heeft, omdat er zoveel (kennelijk verdacht) betalingsverkeer van consumenten (ook ‘retailcliënten’ genoemd) is:

De Nederlandse banken hebben gezamenlijk 35 miljoen cliënten, waarvan 31 miljoen retailcliënten, die over één of meer (al dan niet aan elkaar gekoppelde) rekeningen beschikken.

Al die consumenten zijn kennelijk verdacht en het is essentieel dat hun transacties worden geanalyseerd, zo valt af te leiden uit deze passage (de ‘gezamenlijke voorziening’ is TMNL):

Voor een effectieve werking van de monitoring in een gezamenlijke voorziening is het noodzakelijk dat unieke nummers aan een cliënt gekoppeld kunnen worden. Het ontbreken van een overkoepelend uniek nummer leidt ertoe dat aan elke transactie een groot aantal persoonsgegevens zou moeten worden verbonden om vast te stellen dat verschillende transacties van verschillende banken bij dezelfde cliënt horen. Hoewel het op voorhand onmogelijk is om aan te tonen in hoeveel van de gevallen het niet mogelijk zal zijn om een cliënt te identificeren, zonder gebruik van een uniek nummer, zijn er meerdere redenen om aan te nemen dat dit om een substantieel aantal zal gaan. Ten eerste zijn initialen en achternaam onvoldoende onderscheidend. Ook in combinatie met woonadres en/of geboortedatum is nog steeds niet in alle gevallen te bepalen of het dezelfde persoon betreft. Ten tweede is er een verscheidenheid aan registraties bij deze gegevens. Zo is de schrijfwijze van namen niet altijd uniform, zeker als het buitenlandse namen betreft. Ook wisselen namen van dezelfde personen, bijvoorbeeld doordat zij in het huwelijk treden. Bij de ene bank kan daardoor dezelfde persoon onder een andere naam zijn geregistreerd als bij een andere bank. Verder zijn woonadressen niet altijd gelijk bij dezelfde personen. Ten derde bestaat er in algemene zin bij de invoer van gegevens altijd een bepaalde foutmarge. Bij het combineren van gegevens neemt deze marge aanzienlijk toe naarmate meer gegevens nodig zijn om vast te stellen of sprake is van dezelfde persoon.

Het kabinet denkt dat dit niet in strijd is met de AVG en het Europese Handvest (de banken zijn ‘deze afgebakende groep’):

Het gebruik van BSN door deze afgebakende groep wordt voor deze specifieke taak als proportioneel beoordeeld. Een inrichting zonder uniek nummer zou niet effectief zijn en een verwerking van een grotere hoeveelheid data met zich brengen. Het zelf tot stand brengen van een uniek nummer wordt niet proportioneel geacht gezien de grote hoeveelheid persoonsgegevens die daarvoor nodig is en de grote investering.

Dat bijna alle klanten van banken verdacht zijn volgt ook uit deze passage in §3.2 van de memorie van toelichting (markering door mij):

Daarnaast is er bij banken veelal sprake van cliënten die doorlopende monitoring vereisen en is er beperkt sprake van incidentele transacties. De omvang is daarbij dusdanig, bijna 10 miljard transacties per jaar bij 35 miljoen cliënten, dat een effectievere inrichting van deze monitoring voor het stelsel voor het voorkomen van witwassen en terrorismefinanciering als geheel de meeste meerwaarde zal hebben.

Medische gegevens en informatie vakbondslidmaatschap kunnen relevant zijn voor opsporing misdaad, denkt het kabinet
Uit de memorie van toelichting blijkt verder dat banken geacht worden aan te gaan achter kruimelbetalingen en dat om die reden ook  bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard mogen worden verwerkt. Voorbeelden van bijzondere categorieën van persoonsgegevens zijn gegevens over politieke opvattingen, godsdienst of levensovertuiging, lidmaatschap van een vakbond, gezondheid of het seksuele leven. Banken [*] zijn op grond van de verplichtingen uit de Wwft verplicht informatie vast te leggen die dergelijke gegevens kunnen bevatten. Volgens de memorie van toelichting is het voor bestrijding van witwassen en terrorismefinanciering van belang om medische persoonsgegevens te verwerken (zorgfraude) en om persoonsgegevens inzake betalingen aan religieuze of levensbeschouwelijke organisaties (terrorismefinanciering).

Slotopmerking
Het wetsvoorstel is een sleepwet pur sang die de surveillance samenleving aankondigt.

 

PS Er is nog meer over het wetsvoorstel te zeggen, daar kom ik als ik tijd heb op terug.

 

[*] Dit geldt ook voor andere Wwft-plichtigen.

 

AANVULLINGEN

Aanvulling 18 november 2022
Ik ben benieuwd wat de Tweede Kamer gaat doen. Alkaya is er al mee bezig, hij diende een amendement in en schreef op twitter:

 

Aanvulling 8 december 2022

Voormalig toezichthouder bij geheime diensten Bert Hubert over het bancaire sleepnet:

Geplaatst in Bankrekening krijgen en behouden, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, Strafrecht | Tags: , , , , , , , , , , , , | 1 reactie

Commanditaire vennoot wordt openbaar via handelsregister | consultatie personenvennootschap

Geplaatst op 23 oktober 2022 door Ellen Timmer

Na een lange stilte is er nu beweging rondom het onderwerp personenvennootschap, dat is de nieuwe naam voor de samenwerkingsverbanden die nu bekend staan als maatschap, vennootschap onder firma en commanditaire vennootschap (CV). Deze maand is een internetconsultatie van start gegaan, waarin een nieuw voorstel voor de regels wordt gedaan, voortbouwend op eerdere voorstellen.

In het voorstel zijn er twee vormen overgebleven: de openbare personenvennootschap en de niet-openbare personenvennootschap.

Inschrijving commanditaire vennoot
De openbare personenvennootschap kent een commanditaire variant, die als volgt in het voorstel voor artikel 800 wordt omschreven:

Uit de tekst “die als zodanig wordt ingeschreven in het handelsregister” leidt ik af dat alle commanditaire vennoten openbaar worden gemaakt via het handelsregister. Dat is anders dan wat nu gebeurt, op dit moment worden bij CV’s alleen beherend vennoten ingeschreven.

Dit onderdeel wordt in de toelichting niet besproken. In de toelichting staat alleen het volgende:

Dat klopt niet met wat ik afleid uit de definitie van de CV. Het voorstel voor de invoeringswet biedt ook geen duidelijkheid, want daarin komt de wijziging in de Handelsregisterwet 2007 nog niet voor. In de consultatietoelichting staat:

Er zijn daarnaast nog wijzigingen nodig in de Handelsregisterwet 2007. Ook zijn er nog de nodige technische wijzigingen nodig in overige wetten vanwege bijvoorbeeld de naamsverandering van ‘vennootschap onder firma, maatschap’ naar ‘personenvennootschap. Ook zullen verwijzingen naar de nieuwe en vervallen regeling moeten worden gemaakt. Deze wijzigingen volgen nog.

Met de openbaarmaking van de commanditair vennoten wordt een lang gekoesterde wens van misdaadbestrijders uit de overheid vervuld.

Rechtspersoonlijkheid
Een andere belangrijke wijziging is dat er op de openbare personenvennootschap een vorm van rechtspersoonlijkheid van toepassing is, dat het mogelijk maakt dat de personenvennootschap zelf eigenaar is van vermogen en dat toetreding en uittreding van vennoten eenvoudiger moet maken. Boek 2 Burgerlijk Wetboek is hier niet van toepassing.

Overige wijzigingen
Het voorstel voor boek 7 Burgerlijk Wetboek bevat het nodige regelende recht dat voor veel voorkomende situaties geschikt moet zijn en waarvan in de personenvennootschapsovereenkomst afgeweken kan worden. Voor verdere details verwijs ik naar de consultatiestukken.

 

Meer informatie:

 

Geplaatst in Fraude, witwasbestrijding, Wwft, Personenvennootschap | Tags: | Plaats een reactie

Kunnen grote organisaties integer zijn? | Behavioral Risk Congres

Geplaatst op 22 oktober 2022 door Ellen Timmer

In het grootbedrijf wordt over integriteit gesproken, terwijl die grote bedrijven zich van nature misdragen – dat is onder meer aan Google, Facebook en Uber te zien – en er niemand is die ze corrigeert. Dat moet anders denken de organisatoren van het Behavioral Risk Congres op 1 december a.s. en natuurlijk zit er ook een fijn verdienmodel aan vast voor integriteitsadviseurs.

Het congres vindt plaats bij het grootbedrijf EY aan de ZuidAs en de meeste sprekers hebben ervaring bij het grootbedrijf en sommigen werken daar nog. Zoals deze sprekers van de Big 4 accountantskantoren: mevrouw Bleker-van Eyk van PwC, mevrouw Gaiser van KPMG en de heer Grummel van EY. De meeste sprekers hebben hun vak gemaakt van de bestrijding van financieel-economische criminaliteit, ook wel ‘witwassen’ genoemd of afgekort tot ‘FEC’, wat alle criminaliteit omvat behalve datgene dat geen financieel voordeel oplevert.

Banken hebben van de overheid een criminaliteitsbestrijdingstaak opgelegd gekregen, waar zij mee tobben. Het betreft dan niet alleen het bestrijden van misdaad maar ook het voorkomen van wangedrag ten opzichte van klanten, waartoe de bancaire misdaadbestrijding soms leidt. Het valt te hopen dat er tijdens het congres ook aandacht zal zijn voor integer gedrag ten opzichte van de klanten en relaties bij wie misdaad moet worden opgespoord in het kader van de KYC op grond van de witwasbestrijding.

Laten we hopen dat het congres leidt tot meer integer gedrag bij het grootbedrijf.

 

PS Het zou fijn zijn als er in het kader van ‘behavioral risk’ ook aandacht komt voor het niet-integere optreden van de overheid die onuitvoerbare regelgeving maakt en problemen die zij zelf niet aan kan verlegt naar de private sector (lees Leo Stevens).

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , | Plaats een reactie

Nederlands kabinet zet financiële surveillance door de banken in een wet | bancair sleepnet | wetsvoorstel plan van aanpak witwassen | Wwft

Geplaatst op 22 oktober 2022 door Ellen Timmer

Terwijl de ergernis bij burgers, bedrijven en organisaties over het optreden van banken stijgt, dient het Nederlandse kabinet als eerste in Europa een wetsvoorstel in dat financiële surveillance door betaalinstellingen zoals banken mogelijk zal gaan maken. Nederland loopt daarmee voorop in het creëren van mogelijkheden om mensenrechten te schenden, dat alles met als alibi dat het nodig is voor de misdaadbestrijding.

Bancair sleepnet over alle financiële transacties van alle Nederlanders
Kern van het voorstel is dat banken door middel van hun gezamenlijke besloten vennootschap Transactie Monitoring Nederland BV (TMNL) alle financiële transacties van al hun klanten mogen gaan monitoren, wat ook mogelijk zal maken dat zeer gedetailleerde profielen worden gemaakt van iedere burger.

Zowel nationaal als internationaal zijn zowel de Nederlandse Vereniging van Banken (NVB) als de Nederlandse overheid al een hele tijd druk bezig dit idee te promoten (zie de berichten over TMNL en over WGS).

Disproportionele kosten, onuitvoerbare privatisering misdaadbestrijding
Het wetsvoorstel is hoogst merkwaardig, nu het huidige witwasbestrijdingssysteem, met het ‘cliëntenonderzoek’ en het monitoren van financiële transacties zo weinig oplevert (anders dan een mooi bedrijfsmodel voor de compliance sector en voor IT-ondernemingen). Het systeem kost de banken goud geld en levert in verhouding tot de investeringen zeer weinig op. Het is een klassiek voorbeeld van geld over de balk gooien. Daar komt nog bij dat de witwasbestrijding one-size-fits-all regels omvat voor een zeer groot aantal ondernemingen met hele verschillende informatieposities en kennisniveaus; de wetgever weigert daar rekening mee te houden en bezorgt de betrokken ondernemingen vele problemen.

Verder bezorgen de activiteiten van banken de burgers veel ergernis, door de manier waarop ze met het cliëntenonderzoek en de monitoring omgaan en door het uitsluiten van klanten die de banken ‘moeilijk’ vinden (‘ de-risking’). Zo is het voor diverse sectoren, onder meer not-for-profit organisaties, heel moeilijk geworden om aan een bankrekening te komen.

Dat het kabinet nu voorstelt dat banken hun misdaadbestrijdingstaak mogen bundelen bewijst de mislukking van de huidige concepten achter de privatisering van de misdaadbestrijding (‘witwasbestrijding’) zoals bedacht door de wereldregering FATF en door Europa. Toch gaan de mensen achter de tekentafels van de misdaadbestrijding, zoals Hans van der Vlist onverdroten door.

Slechte trackrecord van Nederland: SyRI, Toeslagenaffaire
Nederland heeft niet bepaald een goede track record als het om financiële mensenrechten gaat. Iedereen kent de SyRI-uitspraak, die nodig was om mensenrechtenschendingen een halt toe toe roepen. De Toeslagenaffaire is nog steeds niet naar behoren afgewikkeld.

Negeren van adviezen, onder meer van de Autoriteit Persoonsgegevens
Ook bijzonder is dat het kabinet zich niets van de kritische adviezen van onder meer Raad van State (artikel) en Autoriteit Persoonsgegevens aantrekt. De Autoriteit Persoonsgegevens maakte zijn kritiek op de plannen gisteren bekend in het artikel Nieuwe wet opent deur naar ongekende massasurveillance door banken. De titel laat aan duidelijkheid niet te wensen over: het kabinet Rutte speelt met (grondrechtelijk) vuur.

Het is de vraag of het gewijzigde wetsvoorstel de kritiek van Raad van State en Autoriteit Persoonsgegevens zal doen verstommen, want ik lees dat alle transacties van burgers van 100 euro en meer worden geanalyseerd en dat daarom het BSN nodig is.
Het kabinet schrijft in het nieuwsbericht:

Naar aanleiding van het advies van de Raad van State, is de reikwijdte van de transactiemonitoring beperkt, zodat er minder data van klanten worden gedeeld. Ook is er meer aandacht voor privacy in het vernieuwde wetsvoorstel en wordt de maatregel over 4 jaar geëvalueerd.

Het wetsvoorstel bevat voorts het ondoordachte voorstel om witwasbestrijdingsplichtige ondernemingen te verplichten gegevens over klanten uit te wisselen, waarop ik in januari 2020 tijdens een consultatie kritiek heb geleverd. Het kabinet schrijft hierover:

Ten derde worden instellingen verplicht om specifieke risico’s met elkaar uit te wisselen. Op deze manier kunnen criminelen niet shoppen bij instellingen en hoeven instellingen geen dubbel werk te doen. Ook hierbij moeten instellingen de privacy van klanten in acht nemen en niet meer informatie delen dan nodig.

Dit is eveneens een zeer slecht voorstel.

Kom in beweging!

Privacy First schreef op 15 oktober jl.: Bancair sleepnet is geen goed idee.
Ik roep iedereen op om het wetsvoorstel kritisch te bekijken en leden van de Tweede Kamer aan te spreken op hun verantwoordelijkheid om geen grondrechten schendende wetgeving aan te nemen. Het is belangrijk om burgerorganisaties die bezwaar hebben tegen het bancaire sleepnet, zoals Privacy First, te steunen.

 

PS Terwijl het kabinet de misdaadbestrijding uitbesteedt mogen criminelen grasduinen in de gegevens van de Belastingdienst.

 

 

Meer informatie:

rijksoverheid

 

Autoriteit Persoonsgegevens
Het advies van de AP is hier te vinden en wordt nu bekend gemaakt omdat het wetsvoorstel is ingediend. De AP schreef gisteren:

Nieuwe wet opent deur naar ongekende massasurveillance door banken
Persbericht 21 oktober 2022

Als de bezwaren niet zijn weggenomen, opent een nieuw wetsvoorstel de deur naar een ongekende massasurveillance van Nederlanders. Dat concludeerde de Autoriteit Persoonsgegevens (AP) in haar advies over het conceptwetsvoorstel ‘Plan van aanpak witwassen’. De AP zal kijken of het advies is overgenomen en zo ja, op welke punten.
Onderdeel van het voorstel is het monitoren van alle banktransacties van alle Nederlandse rekeninghouders in één gecentraliseerde database, met gebruik van algoritmes. Dit betekent een verregaande inbreuk op de bescherming en vertrouwelijkheid van klantgegevens. Het voorgestelde systeem komt in essentie neer op een bancair sleepnet, aldus de AP.

Verdergaande bevoegdheden
Banken moeten nu al individuele controles uitvoeren naar mensen of bedrijven die mogelijk geld witwassen of terrorisme financieren. Ongebruikelijke transacties moeten ze melden bij de autoriteiten.
Deze onderzoeken door banken zijn voor veel mensen erg ingrijpend en ingewikkeld. Ook kunnen ze ervoor zorgen dat mensen zich als een crimineel weggezet voelen.
Het voorstel geeft banken bevoegdheden die nog verder gaan. Op basis van het voorstel kunnen banken voor het eerst het betaalgedrag van alle Nederlanders op één gezamenlijke plek verzamelen en monitoren. Dit systeem kan er ook toe leiden dat mensen geheel ten onrechte toegang verliezen tot hun bankrekening.

Risico’s monitoring
Banken besteden de monitoring straks uit aan een derde partij, die gebruikmaakt van algoritmes. Bovendien moeten banken met elkaar klantgegevens gaan uitwisselen. De risico’s die dit systeem met zich meebrengt, staan in geen verhouding tot het doel van het wetsvoorstel.
Zo dreigen er bijvoorbeeld situaties waarin mensen die door één bank ten onrechte als een risico worden aangewezen, bij alle andere banken in Nederland ook een kruisje achter hun naam krijgen. Voor zulke mensen kan het praktisch onmogelijk worden om nog ergens een bankrekening te kiezen.

“De voorgestelde monitoring gaat echt veel te ver”, zegt AP-bestuurder Katja Mur. “Al jouw betaalgedrag wordt straks centraal verzameld en met algoritmes in de gaten gehouden, samen met alle transacties van alle andere bankklanten in Nederland. Dit levert risico’s op voor jouw privacy. Je betaalgegevens laten je hele handel en wandel zien. Bijvoorbeeld of jij geld uitgeeft aan een politieke partij, religieuze instelling of psycholoog.”
Mur vervolgt: “Bovendien dreigt het gevaar van discriminatie en uitsluiting. We hebben eerder gezien dat algoritmes mensen kunnen stigmatiseren en in hokjes duwen. De vraag is of banken zich straks vooral gaan laten leiden door wat een computer ze vertelt.”
“Goede wetgeving draagt bij aan het aanpakken van witwassen zonder onnodig de grondrechten van alle burgers in te perken. Dat is met dit voorstel zeker niet het geval. Mensen zijn onschuldig tot het tegendeel is bewezen. Door iedereen standaard in de gaten te houden, wordt er aan dit fundamentele beginsel van de rechtsstaat getornd”, aldus Mur.

Europese maatregelen
Om witwassen te voorkomen, bestaan er al Europese en nationale maatregelen. Die maken ook al vergaand inbreuk op de privacy van burgers. De AP heeft al eerder gewezen op de ruime reikwijdte van de Europese witwasmaatregelen. Dit nieuwe, nationale wetsvoorstel komt daar nog eens bovenop.

 

Raad van State
Het advies van de Afdeling advisering van de Raad van State over het wetsvoorstel Wet plan van aanpak witwassen dat in 2021 is uitgebracht en in juni 2022 is bekend gemaakt, is zeer kritisch over de plannen van de banken om samen alle transacties te monitoren. In de samenvatting staat onder meer:

Vergaande inbreuk op grondrechten
De Afdeling advisering onderschrijft het doel van het wetsvoorstel: bestrijden van witwassen en financieren van terrorisme. Ze onderkent dat zogeheten poortwachters (zoals banken) een belangrijke rol spelen om misbruik van het financiële stelsel te voorkomen. Twee van de voorgestelde maatregelen leiden echter tot vergaande inbreuken op grondrechten van burgers en bedrijven die vertrouwelijke gegevens en de persoonlijke levenssfeer beschermen. Hoe belangrijk de bestrijding van witwassen en van financiering van terrorisme ook is, bij deze maatregelen is de vraag of het doel de middelen wel heiligt. Deze middelen gaan in de opzet van het wetsvoorstel te ver. Het gaat daarbij om informatie-uitwisseling bij gezamenlijke monitoring van banktransacties en bij cliëntenonderzoek.

Gezamenlijke monitoring banktransacties
Het wetsvoorstel maakt het mogelijk voor banken om hun transactiegegevens samen te brengen in een centrale database. Het maakt het vervolgens mogelijk deze gegevens onderling te delen om witwassen en financieren van terrorisme te bestrijden. Vijf Nederlandse banken hebben in 2019 het voornemen opgevat om bijna tien miljard transacties per jaar bij 35 miljoen cliënten samen te monitoren. Het voorstel regelt dit. Zo zullen er vertrouwelijke gegevens worden opgeslagen, geanalyseerd en bewerkt van vrijwel alle Nederlandse burgers en bedrijven. De massale schaal waarop banktransacties gezamenlijk zullen worden gemonitord is ongekend en betekent een vergaande inbreuk op de vertrouwelijkheid van gegevens van burgers en bedrijven. Daarbij gaat het niet alleen om het recht op privacy. Deze monitoring kan ook leiden tot uitsluiting en discriminatie. De Afdeling advisering is van oordeel dat het niet is aangetoond dat deze gezamenlijke transactiemonitoring noodzakelijk en proportioneel is. Daarbij komt dat het wetsvoorstel geen passende rechtsbescherming biedt; ook deze wordt als het ware uitbesteed aan de banken. Het advies is dan ook de grondslag voor de gezamenlijke transactiemonitoring uit het wetsvoorstel te schrappen.

Gegevensdeling bij onderzoek naar cliënten
Het voorstel houdt een verplichting in voor een instelling om bij onderzoek naar een (potentiële) cliënt met een hoog risico navraag te doen bij andere instellingen. De bevraagde instelling is dan verplicht om gegevens te delen. Deze gegevensdeling is een inbreuk op de bescherming van vertrouwelijke bedrijfs- en persoonsgegevens. Ook staat het voorstel op gespannen voet met het beroepsgeheim van notarissen en advocaten. Volgens het wetsvoorstel zijn zij niet gehouden aan hun geheimhoudingsplicht als zij de gegevens uitwisselen. De Afdeling adviseert de noodzaak en proportionaliteit van deze maatregel alsnog beter te motiveren.

Vanwege deze bezwaren adviseert de Afdeling om het wetsvoorstel niet bij de Tweede Kamer in te dienen, tenzij het is aangepast.

De Afdeling advisering was ook kritisch over de Wet gegevensverwerking door samenwerkingsverbanden.

 

Nederlandse Vereniging van Banken (NVB)
Deze vereniging is al een hele tijd bezig met het promoten van het bancaire sleepnet, lees onder meer:

 

Media
Diverse media hebben aandacht besteed aan de komst van het bancaire sleepnet, onder meer:

 

Aanvulling 24 oktober 2022
Basistekst artikel aangepast naar aanleiding van het lezen van het wetsvoorstel en de memorie van toelichting. Verder onder media een artikel in Trouw toegevoegd.

Geplaatst in Bankrekening krijgen en behouden, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , , , , , , | Plaats een reactie

Hoepman: Waarom een Europese digitale identiteit simpel moet blijven | iBestuur congres 10 november

Geplaatst op 21 oktober 2022 door Ellen Timmer

Jaap-Henk Hoepman schreef voor een Clingendael uitgave het artikel Waarom een Europese digitale identiteit simpel moet blijven. Daarin geeft hij een uitvoerige uitleg over het onderwerp en waarschuwt hij voor het risico dat grondrechten worden geschonden als het ontwerp niet zorgvuldig plaats vindt. Één van de risico’s is overidentificatie:

Overidentificatie beschrijft het risico dat dienstverleners meer persoonsgegevens kunnen verzamelen op het moment dat een Europese eID een groot aantal verschillende attributen bevat dat gemakkelijk langs elektronische weg kan worden opgevraagd bij ieder klantcontact. Denk bijvoorbeeld aan online dienstverleners die adresgegevens of telefoonnummers opvragen zonder dat deze gegevens voor het aanbieden van de dienst noodzakelijk zijn.

Verder is onder meer zorgelijk dat de nieuwe systemen afhankelijk zullen zijn van de huidige aanbieders van mobiele operating systemen (Apple en Google). Lees voor alle details het artikel.

iBestuur bijeenkomst over Europese digitale identiteit

Hoepman is één van degenen die op 10 november a.s. spreekt op het congres van iBestuur over de Europese digitale identiteit. De bijeenkomst richt zich op beleidsmakers, bestuurders en beslissers binnen de publieke sector en op uitvoeringsorganisaties die contact hebben met burgers en bedrijven.

 

 

Dit staat in het programma over zijn onderdeel:

 

Het onderwerp Europese Digitale Identiteit volg ik, met deelonderwerpen als eIDAS en eID. Zie verder bij digitale overheid.

Geplaatst in Europa, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , | Plaats een reactie

Moet de accountant de jaarrekening ‘opstellen’ en ‘deponeren’?

Geplaatst op 21 oktober 2022 door Ellen Timmer

De inhoudsindicatie van de uitspraak van Gerechtshof ‘s-Hertogenbosch van 13 september 2022 begint met een opmerkelijke tekst (markering door mij):

De accountant die opdracht krijgt tot het opstellen en deponeren van de jaarrekening van een rechtspersoon, verbindt zich in beginsel tevens om die jaarrekening tijdig op te maken en om te bewerkstelligen dat deze vervolgens ook tijdig kan worden gepubliceerd.

Accountants stellen geen jaarrekeningen van besloten vennootschappen (bv’s) op, op zijn hoogst stellen ze een jaarrekening samen op basis van de gegevens van de klant, waarna het bestuur van de klant de jaarrekening opmaakt (artikel 2:210 lid 1 BW). Ook het deponeren is een handeling die het bestuur van de klant dient te verrichten (artikel 2:394 BW), maar waarbij de accountant wel kan ondersteunen.

Opmaken door de accountant?
Het Hof schrijft in overweging 3.1 dat aan het accountantskantoor, in de uitspraak aangeduid als ‘[de N.V.]’ opdracht is gegeven de jaarrekening op te maken en herhaalt die terminologie elders, onder meer in overwegingen 3.34 en verder. Hoogst merkwaardig, zou het Hof boek 2 BW niet hebben gelezen?

Deponeren door de accountant?
Volgens overweging 3.23 zou de rechtbank hebben geoordeeld dat het accountantskantoor

niet is tekort geschoten in de nakoming van de overeenkomst door de jaarrekening te laat openbaar te maken

Kennelijk wordt verondersteld dat het deponeren niet meer de verantwoordelijkheid van het bestuur van de bv is. Dat is eveneens bijzonder.

Wel of niet te laat? Artikel 2:210 lid 5 BW
Het is een opvallende zaak omdat het accountantskantoor opdracht heeft ontvangen na afloop van het boekjaar (2016), op een tijdstip dat de deponeringstermijn van het desbetreffende boekjaar voorbij was, als je uitgaat van een kortere termijn bij het samenvallen van aandeelhouder en bestuur (artikel 2:210 lid 5 BW), daar ging de rechtbank van uit.
Het Hof denkt er in overwegingen 3.27 en verder anders over en komt in overweging 3.30 tot de conclusie dat de termijn voor deponering pas op 31 december 2017 zou zijn verstreken.

Vervolgens gaat het Hof over tot beoordeling van de stelling van eiser in de procedure (de opdrachtgever, als [de B.V.] aangeduid) dat het accountantskantoor:

jegens [de B.V.] tekort is geschoten in de nakoming van de aan haar verstrekte opdracht tot tijdige deponering van de jaarstukken

en aansprakelijk is voor de schade. Het Hof is van oordeel dat de niet-tijdige deponering aan het accountantskantoor is te wijten, omdat het kantoor onvoldoende dringend om tijdige aanlevering van gegevens zou hebben verzocht (‘persoon B’ is vertegenwoordiger van eiser):

Mede in het licht van de opmerking van [persoon B] in zijn e-mail van 2 november 2017 aan [de N.V.] dat hij er vanuit ging dat publicatie uiterlijk in februari 2018 diende plaats te vinden, had het – als onderdeel van haar verplichting om voor een tijdige publicatie te zorgen – op de weg van [de N.V.] gelegen, om [de B.V.] er bij het opvragen van de ontbrekende stukken indringend op te wijzen dat 31 december 2017 de uiterste termijn was voor openbaarmaking van de jaarrekening en dat om die reden een onverwijlde aanlevering van de verzochte bescheiden nodig was. Dat [de N.V.] aldus heeft aangedrongen op een spoedige overlegging van de benodigde bescheiden en heeft gewezen op de noodzaak daarvan, is door [de N.V.] niet gesteld en is ook overigens niet uit de stukken gebleken. Nu [de N.V.] aldus [de B.V.] niet heeft doordrongen van de urgentie van een tijdige overlegging van de gevraagde stukken, verwerpt het hof het verweer van [de N.V.] dat zij door nalatigheid van [de B.V.] niet tijdig genoeg over de noodzakelijke administratieve bescheiden van Hotel [X] kon beschikken en dat om die reden de te late publicatie van de jaarrekening niet aan haar schuld is te wijten.

Het Hof concludeert dat het accountantskantoor wanprestatie heeft gepleegd en komt aan de hand van de feiten tot de conclusie dat er causaal verband is tussen de wanprestatie en de door eiser gevorderde schadevergoeding.

Een bijzondere uitspraak. Ik ben benieuwd wat de rechtspersonenrechtspecialisten er van vinden.

Er zal best een rol zijn voor het accountantskantoor om de klant te waarschuwen dat tijdig opgemaakt en gedeponeerd moet worden, maar het opmaken en deponeren is toch echt de verantwoordelijkheid van het bestuur van de bv.

 

Meer informatie:

Geplaatst in Dienstverlening - juridisch financieel [advocaten, accountants, belastingadviseurs e.d.], Jaarverslaggeving, Rechtspersonenrecht | Tags: , | Plaats een reactie

De datagraaiende app van het FD

Geplaatst op 20 oktober 2022 door Ellen Timmer

Onlangs bekeek ik het privacy rapport van de FD app op mijn ipad:

 

Google (Doubleclick) is zeer ruim vertegenwoordigd in deze app. Dus ik heb ‘m onmiddellijk van mijn apparaat gegooid.

Geplaatst in ICT, privacy, e-commerce | Tags: , , , , | Plaats een reactie

Hoog tijd voor vergunningplicht en toezicht datahandelaren | Equifax uitglijer

Geplaatst op 20 oktober 2022 door Ellen Timmer

De praktijk leert dat veel IT bedrijven inherent immoreel zijn. Een nieuw voorbeeld zag ik vandaag bij Wolfie Christl, die schrijft dat hij niet kan geloven dat Kount, een criminaliteitsonderzoeksbedrijf dat eigendom is van Equifax, openlijk pleit voor het gebruik van persoonsgegevens die worden verwerkt voor fraudepreventie, ten behoeve van marketingprofilering.

 

 

Het geeft aan dat het hoog nodig is dat alle datahandelaren, ongeacht of ze zich met marketing of met criminaliteitsbestrijding bezig houden gereguleerd worden, zoals ik al eerder schreef. Net als in de financiële sector is een strenge toetsing van bestuurders, toezichthouders, aandeelhouders en grote financiers nodig, om te zorgen dat zij zich maatschappelijk gaan gedragen.

Het plaatje uit de tweet van Christl:

Enhance your marketing campaigns with first party data collections from Kount. Access the data your fraud team already owns and reduce reliance on highly regulated third-party data aggregators

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , | Plaats een reactie