AVG en kredietbeoordeling | uitspraak Datatilsynet over het zonder grondslag opvragen van een kredietbeoordeling

Geplaatst op 7 september 2022 door Ellen Timmer

In de financiële sector gaan zeer veel vertrouwelijke gegevens om, waaronder zeer veel persoonsgegevens. De redenen voor het verzamelen van de gegevens zijn enerzijds de misdaadbestrijdingstaken die de overheid naar de financiële sector heeft verlegd [*] en anderzijds de eigen activiteiten van de financiële instellingen, bijvoorbeeld de beoordeling of een lening kan worden verstrekt. Die financiële instellingen maken veel gebruik van datahandelaren, onder andere datahandelaren die zich met kredietwaardigheidsbeoordeling bezig houden. Ook hier is de AVG relevant, zoals uit navolgende zaak blijkt.

In een zaak die werd behandeld door de Noorse gegevensbeschermingstoezichthouder (Datatilsynet) kwam aan de orde dat een vastgoedbeheeronderneming Krokatjønnveien 15 AS (‘Krokatjønnveien’) kredietwaardigheidsbeoordelingen had laten maken van twee personen die geen relatie met Krokatjønnveien hadden, vermoedelijk vanwege een privégeschil van één van hen met iemand van Krokatjønnveien. Die twee personen ontdekten dat en dienden een klacht bij de toezichthouder in, die onderzoek instelde en tot de conclusie kwam dat Krokatjønnveien ten onrechte de kredietwaardigheidsbeoordeling had opgevraagd, wat een boete van NOK 300,000 (ongeveer 30.500 euro) opleverde.

Datatilsynet is van mening dat zorgvuldig met het aanvragen van een kredietbeoordeling moet worden omgegaan, omdat het samengesteld wordt met persoonsgegevens uit vele verschillende bronnen, met veel details van de persoonlijke financiën, zoals betalingsaanzeggingen, hypotheken en gegevens over schulden. Degene die een kredietbeoordeling opvraagt hoort daarvoor een grondslag als bedoeld in de AVG te hebben (bijvoorbeeld een overeenkomst). In deze zaak ontbrak die grondslag en was er reden voor een boete.

 

Bericht Datatilsynet in het Noors,
pagina over kredietbeoordeling (Noors)

 

[*] Ook bekend als ‘witwasbestrijding’, gebaseerd op Europese regels en de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft).

Geplaatst in Financieel recht, onder meer Wft, Wtt, ICT, privacy, e-commerce | Tags: , , , , , | Plaats een reactie

Corona advies

Geplaatst op 6 september 2022 door Ellen Timmer

Gisteren is het gezamenlijke corona advies van een aantal adviesorganen uitgebracht onder de titel Coronascenario’s doordacht: Handreiking voor noodzakelijke keuzes.

Het zal interessant zijn om te zien of er in het rapport aandacht wordt besteed aan de vraag of het nut en de effectiviteit van maatregelen wel goed wordt gemeten en of wetenschappelijke tegenspraak wordt toegestaan. Ik ben er benieuwd naar of de wetenschappelijke overheidsadviseurs ook door onafhankelijke wetenschappers gecontroleerd mogen worden. Uit de discussie rondom de oversterfte cijfers krijg ik de indruk dat de berekeningen door RIVM c.s. niet onafhankelijk gecontroleerd kunnen worden, wat geen professionele indruk maakt.

De adviseurs
Er is blijkens pagina 2 van het advies (pdf) uitgebracht door WRR in nauwe samenwerking met:

de Gezondheidsraad
de Raad van State
de Raad voor het Openbaar Bestuur
de Raad voor Volksgezondheid & Samenleving

Naast deze adviescolleges, zo staat er, werkten ook mee aan de studie:

de Adviesraad Internationale Vraagstukken
de Adviesraad voor wetenschap, technologie en innovatie
het College voor de Rechten van de Mens
de KNAW (inclusief De Jonge Akademie)
de Nederlandse Sportraad, die terecht aandacht vraagt voor het belang van sport en beweging
de Onderwijsraad
de Raad voor Cultuur
de Raad voor Strafrechtstoepassing en Jeugdbescherming
de Sociaal-Economische Raad (in de vorm van betrokkenheid kroonlid)

Dat al deze instanties hebben meegewerkt, zal het moeilijk maken om kritiek uit te oefenen. Het is een steuntje in de rug voor het coronawetsvoorstel dat is ingediend.

Media over het rapport
Een greep:

# NOS: Nu nadenken over corona, zeggen 14 instanties. Wat willen zij?
# NRC, interview met Prins: ‘Het bagatelliseren van dreigingen is geen basis voor beleid’
# RD: WRR: Overheid vertelt niet het eerlijke verhaal , WRR: Bereid je nú voor op nieuwe coronagolf
# NPO Radio 1: WRR: kabinet denkt te weinig in lange termijn-oplossingen
# Trouw: Vaccinatieplicht kan een optie zijn, schoolsluiting niet. Dit zijn de corona-adviezen van de WRR
# AD: Nederland niet klaar voor coronawinter: ‘Bespreek nu dilemma’s rond coronapas en vaccinatiedwang’
# Het Parool: Nederland niet klaar voor coronawinter: ‘Bespreek nu dilemma’s rond coronapas en vaccinatiedwang’ 

 

Geplaatst in Grondrechten | Tags: , , | Plaats een reactie

AVG geldt ook bij Europese aanbesteding | Vergabekammer Baden-Württemberg

Geplaatst op 6 september 2022 door Ellen Timmer

De Vergabekammer Baden-Württemberg (‘aanbestedingskamer’) was in een uitspraak van 13 juli jl. van oordeel dat een onderneming (‘aanbieder’) van deelname aan een Europese aanbesteding gehouden door een Duitse gezondheidsinstelling moest worden uitgesloten omdat niet werd voldaan aan de gegevensbeschermingseisen uit de aanbesteding, zie de uitspraak (Duits).

Reden: er zou een onrechtmatige overdracht van persoonsgegevens van patiënten aan een derde land, de VS, plaats vinden, als gevolg van het gebruik door de aanbieder van diensten van een Amazon dochter. Dat is op grond van de AVG niet toegestaan nu de VS geen adequaat niveau van gegevensbescherming heeft, zoals is uitgemaakt in de Schrems I en II uitspraken.

Geplaatst in ICT, privacy, e-commerce, Not-for-profit | Tags: , , , | Plaats een reactie

Duits advocatenkantoor publiceert ten onrechte persoonsgegevens van gefailleerden | AVG

Geplaatst op 5 september 2022 door Ellen Timmer

Duitse advocatenkantoren in de deelstaat Bremen, die zich bezig houden met afwikkeling van insolventies (‘mit Insolvenzverwaltungen betraute Kanzleien‘), hadden een website met een digitaal informatiesysteem dat toegang gaf tot persoonsgegevens van insolvente personen. Naar aanleiding van klachten van burgers stelde de AVG-toezichthouder van de deelstaat, LfDI [*], onderzoek in en constateerde dat de AVG werd overtreden. Er was geen grondslag voor deze openbaarmaking.

Naar aanleiding van het onderzoek hebben de advocatenkantoren hun IT-leverancier verzocht de software aan te passen en wordt nu wel aan de AVG voldaan, zo blijkt uit het persbericht van LfDI, die aangeeft dat de persoonsgegevens ook tijdig gewist zullen moeten worden. LfDI schrijft (machinevertaling):

Dit houdt niet alleen in dat persoonsgegevens slechts beperkt kunnen worden teruggehaald, maar ook dat de wettelijke termijnen voor het wissen van gegevens in acht worden genomen. Wij zullen dit in de toekomst blijven volgen, vooral omdat de bekendmaking van deze gegevens voor de betrokkenen een aanzienlijke economische stigmatisering kan betekenen.

 

[*] Der bremischen Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDI).

Geplaatst in Dienstverlening - juridisch financieel [advocaten, accountants, belastingadviseurs e.d.], ICT, privacy, e-commerce | Tags: , , | Plaats een reactie

Naming & shaming van de ubo van verhuurders van woonruimte | consultatie uitvoeringsbesluit Wet goed verhuurderschap

Geplaatst op 5 september 2022 door Ellen Timmer

In aansluiting op de Wet goed verhuurderschap die in aantocht is (zie dit artikel) is een consultatie over een uitvoeringsbesluit gestart, die loopt tot en met 2 oktober a.s. Volgens de aankondiging worden in dit concept-besluit twee onderwerpen nader geregeld:

1. de verwerking van de persoonsgegevens bij het gemeentelijk meldpunt;
2. de openbaarmaking van overtredingen op de website van de gemeente op grond van artikel 19 lid 1 van de wet (naming & shaming).

Oplegging van sancties aan verhuurders, verhuurbemiddelaars en beheerders van woon- en verblijfsruimte
Een bijzonderheid aan het wetsvoorstel is dat aan verhuurders, verhuurbemiddelaars en beheerders van woon- en verblijfsruimte sancties kunnen worden opgelegd als zij de wet niet naleven. Onder meer kunnen burgemeester & wethouders boetes opleggen en kunnen zij verplichten tot het in beheer geven van woon- en verblijfsruimte.

Wettelijke grondslag voor naming & shaming van de ubo ontbreekt
Volgens het concept-besluit worden naam en woonplaats van de ‘uiteindelijk belanghebbende’ van de overtredende rechtspersoon openbaar gemaakt. Het betreft de ‘uiteindelijk belanghebbende’ (ubo) uit de witwasbestrijding [1]. Diens naam wordt volgens het concept-besluit openbaar gemaakt in het kader van naming & shaming, als sprake is van een rechtspersoon die overtreder is van de wet [2]. Vreemd is dat de openbaarmaking van de personalia van de ubo niet genoemd wordt in het wetsvoorstel, zodat een wettelijke grondslag (als bedoeld in de AVG) voor openbaarmaking van deze persoonsgegevens ontbreekt.

Gesteld dat er wel een wettelijke grondslag wordt gecreëerd, dan is de vraag of het standaard openbaar maken van de ubo van een overtreder wel passend is, nu er veel ubo’s zijn die geen invloed hebben op het doen en laten van een rechtspersoon, bijvoorbeeld omdat zij een financieel minderheidsbelang hebben en geen statutair bestuurder van de rechtspersoon zijn. Weliswaar staat in artikel 19 lid 1 sub a. van het wetsvoorstel de mogelijkheid dat “het belang van openbaarmaking” (van de personalia van de ubo’s) wordt afgewogen tegen het belang, bedoeld in artikel 5.1, tweede lid, onderdeel e, van de Wet open overheid, maar het is de vraag of dat wel een passende afweging is.

Het zal me benieuwen wat de Autoriteit Persoonsgegevens hier van vindt.

In het wetsvoorstel zit overigens wel een grondslag voor de verwerking van persoonsgegevens in de zin van de AVG door het gemeentelijk meldpunt, zie hoofdstuk 3 van het wetsvoorstel.

Openbaarmaking terwijl sanctie niet definitief is
Er kan ook openbaar worden gemaakt als de sanctie niet definitief is, dus als er een rechtsmiddel kan worden ingesteld tegen de sanctie (boete of bevel tot in beheer geven). Dat kan betekenen dat achteraf blijkt dat de gegevens inzake de overtreder (verhuurder e.d.) en diens ubo ten onrechte openbaar zijn gemaakt en is het kwaad (onterechte negatieve publiciteit) al geschied. Want dan zijn de gegevens inmiddels al overgenomen door datahandelaren en zoekmachines en zullen tot in de eeuwigheid beschikbaar blijven. Ook dit lijkt me onjuist.

Gemeentelijke misdaadbestrijding: verstandig?
Gelet op de vele fouten die gemeenten al hebben gemaakt bij de misdaadbestrijding, vraag ik me af of het een verstandige keuze is van het kabinet om deze taken bij de gemeente neer te leggen [3].

 

Noten

[1] Raadselachtig is dat naar de definitie in de Implementatiewet registratie uiteindelijk belanghebbenden van trusts en soortgelijke juridische constructies wordt verwezen, waarin de uiteindelijk belanghebbende wordt gedefinieerd als:

uiteindelijk belanghebbende als bedoeld in artikel 10a, eerste lid, van de Wet ter voorkoming van witwassen en financieren van terrorisme

Een rechtstreekse verwijzing naar artikel 10a Wwft is logischer.

[2] Artikel 3 sub b onder 2° van het concept-besluit:

[3] Zie voor voorbeelden de berichten met de tag gemeentelijke criminaliteitsbestrijding, onder meer gemeente Rotterdam die onrechtmatig burgers volgde, ondermijnende klikdiensten en de vreemde ondermijningswebsite.

 

Meer informatie:

Geplaatst in Contractenrecht, privaatrecht algemeen, Fraude, witwasbestrijding, Wwft, Ubo-register | Tags: , , , , , , , | Plaats een reactie

Italiaanse AVG-boete voor Deutsche Bank | AVG

Geplaatst op 4 september 2022 door Ellen Timmer

De Deutsche Bank kreeg van de Italiaanse gegevensbeschermingstoezichthouder (Garante per la protezione dei dati personali) een boete van 20.000 euro wegens niet-naleving van de AVG. De bank had niet tijdig gereageerd op een verzoek van een rekeninghouder om inzage van zijn (persoons)gegevens.

De rekeninghouder was in 2017 een lening aangegaan bij de bank. In 2020 kwam hem ter ore dat zijn gegevens waren verstrekt aan een bedrijf dat zich bezig houdt met kredietwaardigheidsbeoordeling (CRIF S.p.A.), wat voor hem aanleiding was de bank om inzage te vragen. De bank reageerde niet tijdig op het verzoek en kwam veel later met de gevraagde informatie. De rekeninghouder legde de zaak aan de toezichthouder voor, die oordeelde dat de bank laakbaar had gehandeld. Ook al had de bank de betrokkene al geïnformeerd over de gegevensverstrekking bij het aangaan van de lening, als er op een later tijdstip om inzage wordt gevraagd, dient aan het verzoek te worden voldaan.

De handelswijze van de bank was reden voor een boete.

 

Uitspraak van 16 juni 2022 (Italiaans).

Geplaatst in Financieel recht, onder meer Wft, Wtt, ICT, privacy, e-commerce | Tags: , , , , | Plaats een reactie

Bank krijgt sanctie omdat persoonsgegevens niet werden verwijderd | AVG

Geplaatst op 3 september 2022 door Ellen Timmer

Banken zitten op een goudmijn aan persoonsgegevens, maar moeten zich als ieder ander aan de AVG houden. Dat betekent onder meer dat als een rekeninghouder vraagt om het wissen van persoonsgegevens en de bank de gegevens niet langer nodig heeft (op grond van overeenkomst of wettelijke verplichting), de bank dit verwijderingsverzoek onmiddellijk moet uitvoeren.

De Finse gegevensbeschermingsautoriteit (Tietosuojavaltuutetun) heeft een internationaal actieve bank, waarvan de naam niet wordt genoemd (groepsomzet 11.502 miljoen euro er jaar), berispt voor het schenden van de AVG door niet in te gaan op het verzoek van de rekeninghouder om zijn persoonsgegevens te wissen toen de bank ze niet langer nodig had. De autoriteit overweegt dat dit een individueel geval is en dat een berisping dan passend is; mocht deze bank de AVG later opnieuw niet naleven, dan kan deze sanctie in de beoordeling van een toekomstige sanctie worden betrokken.

 

Uitspraak in het Fins.

Geplaatst in Financieel recht, onder meer Wft, Wtt, ICT, privacy, e-commerce | Tags: | Plaats een reactie

Zorgelijke AVG-onkunde als het misdaadbestrijding betreft | advies AP over fraudeopsporing Belastingdienst

Geplaatst op 3 september 2022 door Ellen Timmer

Er bestaat een onuitroeibare onkunde, als het gaat om de relatie tussen gegevenbescherming (AVG) en misdaadbestrijding.
Een sterk staaltje is te vinden in de opinie van Jorij Abraham en Marianne Junger in het NRC, in We kunnen veel meer doen tegen online fraude roepen zij:

Nederlandse Fraudehelpdesk werd in 2021 op de vingers getikt door de Autoriteit Persoonsgegevens omdat ze geen gegevens over mogelijke fraudeurs mag verzamelen en bewaren. Het gevolg is dat veel organisaties op geen enkele manier data over cybercriminaliteit durven delen. En dat is noodzakelijk om scams vroegtijdig te stoppen en meer slachtoffers te voorkomen.
De Europese Commissie lijkt langzaam tot het inzicht te komen dat de balans is doorgeslagen. Zij is bezig wetgeving aan te passen. Ook heeft Brussel recentelijk de Autoriteit Persoonsgegevens berispt omdat het de privacywetgeving te restrictief opvat.

Wat deze auteurs (en vele anderen met hen) niet begrijpen is dat de AVG het gegevens delen ten behoeve van de misdaadbestrijding niet verbiedt. Op grond van de AVG is het nodig dat er een wettelijke grondslag is voor het uitwisselen van misdaadbestrijdingsgegevens en zijn waarborgen nodig om te voorkomen dat er schade ontstaat door een onjuiste omgang door overheden en private partijen met gegevens.

Er staat niets aan in de weg om de Fraudehelpdesk via wetgeving een officiële status te geven, een wettelijke grondslag te creëren voor de verwerking van gegevens en te zorgen voor waarborgen. Dan is het niet meer nodig dat de Fraudehelpdesk op grond van de gewone gegevensbeschermingsregels een vergunning aanvraagt.

Schade door onjuiste omgang met persoonsgegevens in de misdaadbestrijding: de Toeslagenaffaire en het advies AP over fraudebestrijding door de Belastingdienst
Dat het met die omgang met persoonsgegevens vreselijk mis kan gaan, laat de Toeslagenaffaire zien.

Lees in dat verband het advies van de Autoriteit Persoonsgegevens (AP) van 21 juli jl. over nieuwe plannen voor fraudeopsporing door de Belastingdienst, zoals recent bekend gemaakt. Dit advies wordt uitgebracht ondanks het feit dat de adviesaanvraag prematuur was. De AP besluit toch te adviseren en motiveert dit aldus:

Vervolgens oordeelt de AP dat de Belastingdienst  nog het nodige huiswerk heeft:

  • De gegevensbeschermingseffectbeoordeling is te beperkt.
  • Er dient beter te worden nagegaan of er een nauwkeurige en duidelijke wettelijke grondslag voor de gegevensverwerking is.
  • Aan het beginsel van dataminimalisatie wordt niet voldaan.
  • Er is het risico dat mensen als fraudeur worden gesignaleerd en daarvan nadeel ondervinden, terwijl helemaal niet is vastgesteld of er daadwerkelijk van fraude sprake is. Ook is er te weinig aandacht voor gevolgen van de signalering voor andere betrokkenen (in de omgeving van de gesignaleerde persoon).
  • Er is geen zekerheid over de juistheid van de gegevens waarover de Belastingdienst beschikt. Er kan nog oude, onjuiste of discriminatoire informatie in de systemen van de fiscus zitten.

De AP concludeert:

 

NB Of de Europese Commissie de AP wel mag berispen is overigens de (juridische) vraag. De Europese Commissie houdt zich zelf niet aan de Europese databeschermingsregelgeving, wat aangeeft dat dit onderwerp bij hen niet in goede handen is. Een Europese databeschermingsorganisatie (EuGD Europäische Gesellschaft für Datenschutz mbH) steunt een procedure tegen de Europese Commissie, vanwege het gebruik van Amazon Web Services en de integratie van een Facebook login op de site van de Commissie, lees hierover dit artikel van het advocatenkantoor dat de klager bij staat.

Geplaatst in Belastingrecht, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , | Plaats een reactie

Boetes voor Amerikaanse banken wegens illegaal gebruik messagingdiensten door werknemers

Geplaatst op 2 september 2022 door Ellen Timmer

Reuters schreef op 22 augustus jl. Big banks expected to rack up more than $1 billion in fines for WhatsApp use. Volgens het artikel wordt door U.S. Securities and Exchange Commission (SEC) en Commodity Futures Trading Commission (CFTC) onderzoek ingesteld naar het onrechtmatig gebruik door werknemers van niet goedgekeurde messaging tools, inclusief e-mail en whatsapp. Uit het eerdere bericht SEC opens inquiry into Wall Street banks’ staff communications -sources kan worden afgeleid dat het hier vooral gaat om het adequaat vastleggen van werkgerelateerde communicatie door werknemers.

Geplaatst in Financieel recht, onder meer Wft, Wtt, ICT, privacy, e-commerce | Tags: , , | Plaats een reactie

EPRS report on the AML Package | inadequate attention to non-financial obliged entities

Geplaatst op 2 september 2022 door Ellen Timmer

In July this year the European Parliamentary Research Service published The proposed Anti-Money Laundering Authority, FIU cooperation, powers and exchanges of information, written by Silvia Allegrezza (University of Luxembourg).

Inadequate attention to non-financial obliged entities
The author recognizes that the obliged entities that do not belong to the financial sector (non-financial obliged entities, like auditors and notaries) are in a fundamental different position from obliged entities in the financial sector (financial institutions, ‘FIs’), which makes centralisation of supervision impossible (page 7):

A partial centralisation of supervisory powers limited to the financial sector seems adequate to the current state of harmonisation at the EU level. Conversely, due to the heterogeneity and fragmentation of regulation of the non-financial sector, a centralisation of supervision of non-financial obliged entities would require prior harmonisation efforts;

She however pays no attention at all to the fact that anti-money laundering (AML) legislation is designed for FIs that carry out transactions with / for their clients.

Differences with the financial sector
The position of obliged entities from the non-financial sector is completely different. Some of them do not do any financial transactions with/for their clients and are involved with few transactions, some of them only see transactions after they have happened. The information position of the different members of the non-financial sector is also completely different, for example, because some service providers, due to the nature of their work, have long-term relationships with their clients (e.g. accountants and tax advisers) while others carry out ad hoc assignments (lawyers providing AML services). Within one group there may also be differences, for instance: the tasks of lawyers in Anglo-Saxon legal systems are different from what regulated lawyers do on the European continent.

This element is missing in the report, for instance in paragraph 2.1 where only attention is paid to heterogeneity and fragmentation of regulation and supervision and not to the position of these service providers in transactions.

Without any explanation or justification the author takes the position that the indirect supervision by the new Authority for Countering Money Laundering and Financing of Terrorism (AMLA) will improve the effectiveness of European AML-legislation, for instance on page 15 and 25 of the report, where she claims that the harmonising effect of the actions of AMLA and the European Commission will also benefit compliance of non-financial obliged entities.

Further research is needed
I agree with the remark in footnote 59 that further research absolutely is needed in relation to non-financial entities. Such research should be of a much higher quality and pay attention to the conditions in which the various service providers / professionals work and the characteristics of their work. Now it is being done as if they could be treated the same as large financial institutions.

In my opinion, it is not appropriate for AMLA and the European Commission to interfere with non-financial obliged entities, it will lead to torrents of inadequate guidance based on their experience with FIs; it is to be expected that Europe will authoritarianly steamroll over national supervisors and obliged entities.

Geplaatst in English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , | Plaats een reactie