Sturen op aantallen | jaaroverzicht 2021 FIU Nederland | Wwft

Geplaatst op 17 augustus 2022 door Ellen Timmer

Het blijft vreemd: al die berichten over het stijgende aantal meldingen van ‘ongebruikelijke transacties’ op grond van de Wwft per type Wwft-plichtige, zonder te kijken naar de informatiepositie van deze groep Wwft-plichtigen en naar de vraag of zij wel transacties zien. Ook wordt er niet gekeken of de groep van Wwft-plichtige ondernemingen is uitgebreid en of de meldingsgronden zijn veranderd.

Ook het jaaroverzicht van FIU Nederland over 2021 veroorzaakte weer een vloed van berichten over de aantallen en over wie meer of minder meldde. FIU Nederland doet daar zelf aan mee door te schrijven dat de trend van het oplopend aantal meldingen van ongebruikelijke transacties door meldingsplichtige instellingen zich voortzet, terwijl aantallen natuurlijk niets over de kwaliteit zeggen.

Het is hoog tijd dat de Nederlandse overheid eens beter gaat kijken naar de kwaliteit van de wetgeving en de verhouding tussen kosten en opbrengsten. En misschien moet het wel helemaal anders, bijvoorbeeld door het betalingsverkeer weg te halen bij de banken.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , | 2 reacties

Lelieveldt over de toekomst van het betalen | financiële mensenrechten

Geplaatst op 16 augustus 2022 door Ellen Timmer

Simon Lelieveldt schreef een mooi artikel, ‘De toekomst van het betalen?‘, waarin ook de geschiedenis van het betalen aan bod komt.

Hij signaleert een toenemende macht van internationale spelers, niet alleen Visa/Mastercard maar ook Big Tech. Een andere ontwikkeling is die naar volledige monitoring van het betalingsverkeer:

Een laatste ontwikkeling is dat sinds eind jaren 90 vorige eeuw er heel veel monitoring in het betalingsverkeer is geslopen. Elke keer als er weer een aanslag kwam werd er weer meer anti-witwas regels ingevoerd tot het punt waar het nu ten onrechte gebruikelijk is dat al je gegevens bekend/gemonitord en gescreend worden. Dat is in strijd met heel veel regels, maar in Nederland neemt de opsporingscommunity het niet zo nauw met de letter van de wet (en politici slaan er ook niet op aan).

Hij gaat in tegen de heersende financiële leer door het volgende te bepleiten:

A. Terugkeer van privacy en onschuldpresumptie: eind aan ingebouwde opsporing
B. De overheid moet veel actiever het gebruik van contant geld aanmoedigen
C. We moeten marktmacht en geopolitiek bewaken en in toom houden
D. We moeten de digitale euro strategisch positioneren omwille van toekomstige digitale duurzaamheid, democratische samenleving en geopolitieke autonomie

De werkelijke toekomst van het betalen zou wel eens anders kunnen zijn, schrijft Lelieveldt, zodat de centrale uitdaging zal zijn om de mensenrechten in de financiële sector te respecteren:

Zowel bedrijven als overheden zouden zich meer moeten afvragen of de huidige werkwijze in de financiële sector niet feitelijk neerkomt op schending van mensenrechten (eigendom, onschuldpresumptie, privacy) omwille van overmatige en disproportionele opsporing.

Daarmee kan Maatschappelijk Verantwoord Ondernemen volgens hem werkelijke invulling krijgen.

 

 

Geplaatst in Bankrekening krijgen en behouden, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft | Tags: , , , , , , , , , , | Plaats een reactie

Menselijke maat in wetten en regels – goede voornemens van het kabinet

Geplaatst op 15 augustus 2022 door Ellen Timmer

Op 11 juli werd een kamerbrief gepubliceerd over acties kabinet bevorderen menselijke maat wetten en regels. Bij dit soort initiatieven wordt vaak alleen aan de burger (natuurlijke persoon, consument) gedacht en niet aan de organisaties en bedrijven die de regels moeten uitvoeren. Verder wordt de financiële regelgeving (zoals de private misdaadbestrijdingsregels, ook bekend als ‘witwasbestrijding’) standaard overgeslagen, terwijl deze regelgeving niet alleen door het grootbedrijf moet worden uitgevoerd.

Het zou mooi zijn als de goede voornemens van het kabinet ook worden toegepast op de regels zoals voor organisaties en bedrijven gelden, zoals:

Hopelijk gaat het Ministerie van Financiën het goed oppakken en er in Europa aandacht voor vragen.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , | Plaats een reactie

Moet CAHR een administratiekantoor worden? | ambtelijke plannen voor een nieuw belastingstelsel

Geplaatst op 15 augustus 2022 door Ellen Timmer

Ter bevordering van de rechtszekerheid willen notarissen centraal gaan registreren wie aandeelhouder is, in een landelijk register van aandeelhouders. Op dit moment is er een wetsvoorstel voor een centraal aandeelhoudersregister (CAHR) in behandeling, op grond waarvan het notariaat aandelenuitgiften en -overdrachten landelijk zal gaan registreren.

Op Taxlive zag ik een artikel dat verwijst naar een bericht van IPE naar aanleiding van ‘IBO Vermogensverdeling‘, een ambtelijk rapport opgesteld in opdracht van de Minister van Financiën. In dat rapport kom ik juridisch merkwaardige zaken tegen. De ambtenaren stellen een landelijk aandeelhoudersregister voor om makkelijker de waarde van niet-beursgenoteerde aandelen vast te stellen, zie pagina 97:

De opmerking “Een dergelijk register gaat wel met enige administratieve lasten gepaard” is een geweldige understatement.

Het lijkt op een ombouw van het CAHR (daar rept IPE ook over) dat voor een heel ander doel is bedacht. Is het niet makkelijker om dit soort gegevens rechtstreeks bij de Belastingdienst te registreren als onderdeel van de jaarlijkse aangifte? Het kan ook meteen het CAHR overbodig maken.

Wel zal dan eerst het IT-landschap van de fiscus op orde moeten worden gebracht.

Het devies bij het kabinet lijkt te zijn: waarom makkelijk als het ook ingewikkeld en duur kan?

 

Meer informatie:

Geplaatst in Belastingrecht, Fraude, witwasbestrijding, Wwft, Overheidsregister van aandeelhouders, Rechtspersonenrecht | Tags: , | Plaats een reactie

Online sessies op 6 en 8 september over Datavisie Handelsregister | gegevensbescherming handelsregister

Geplaatst op 14 augustus 2022 door Ellen Timmer

Enige tijd geleden hield de rijksoverheid een consultatie over de toekomst van het handelsregister, onder de titel ‘Datavisie Handelsregister‘, lees de aankondiging (ik deed ook mee).

Zoals bekend dateert het handelsregister uit de predigitale tijd en levert de verspreiding van persoonsgegevens uit het handelsregister nu veel hinder en cybersecurity risico’s op. Er zijn daarom maatregelen nodig om de risico’s voor burgers (criminaliteit, advertentiehinder, trollen en andere overlast) te beperken.

Online sessies op 6 en 8 september
Bij de berichten over de consultatie is is een uitnodiging van 10 augustus jl. voor een online sessie op 6 en 8 september a.s. te vinden:

Uitnodiging online sessies, 10 augustus 2022
Wij nodigen alle betrokkenen bij het Handelsregister van harte uit om deel te nemen aan een van de interactieve online sessies. Deelnemers kunnen reflecteren op de voorgestelde oplossingsrichting uit de Kamerbrief en ideeën inbrengen die deze verder kunnen verbeteren. Deze vinden plaats op 6 september (10:00-11:30 uur) of 8 september (20:00-21.30 uur).

Via deze link kunt u zich aanmelden: https://www.eventbrite.com/e/tickets-online-consultatie-datavisie-handelsregister-370330377127

Andere berichten
Lees op de berichtenpagina verder:

Geplaatst in Grondrechten, Handelsregister, ICT, privacy, e-commerce, Kamer van Koophandel | Tags: , , | Plaats een reactie

Aanhoudend foutief gebruik algoritmes door overheden vraagt om bindende discriminatietoets | College voor de Rechten van de Mens

Geplaatst op 14 augustus 2022 door Ellen Timmer

Het  College voor de Rechten van de Mens liet op 15 juli 2022 via een nieuwsbericht weten: “Aanhoudend foutief gebruik algoritmes door overheden vraagt om bindende discriminatietoets“. Daarin komt aan de orde dat niet alleen de rijksoverheid ernstige fouten heeft gemaakt (zoals het Ministerie van Financiën en de Belastingdienst in de toeslagenaffaire), maar dat ook gemeenten grondrechten schenden.

Hoe het staat met de profileringsverplichtingen in de witwasbestrijding, zoals onder meer uitgevoerd door financiële instellingen, lijkt nog niet bij het College in beeld.

Het bericht:

Aanhoudend foutief gebruik algoritmes door overheden vraagt om bindende discriminatietoets

Weblogbericht | 15-07-2022 | College voor de Rechten van de Mens

Sinds de kinderopvangtoeslagaffaire ligt gebruik van algoritme- en risicoprofilering door de overheid onder een vergrootglas. Toch verschenen afgelopen tijd berichten in de media over verschillende overheidsinstanties die nog steeds gemankeerde algoritmische systemen inzetten bij fraudeopsporing of de uitvoering van andere overheidstaken. Dit soort systemen kunnen discrimineren of bevatten hoge risico’s daarop. De fouten kwamen niet aan het licht vanuit de overheidsinstanties zelf, maar zijn het resultaat van onderzoeksjournalistiek of het werk van controlerende, onafhankelijke partijen. Daarom roept het College op tot de ontwikkeling van een bindende discriminatietoets voor het gebruik van – bestaande én nieuwe – algoritmische systemen die de overheid wil inzetten.

Utrechtse gemeenten gebruikten discriminerende fraudescorekaarten
Onlangs berichtte de NRC over vier Utrechtse gemeenten die aan de hand van een omstreden ‘fraudescorekaart’ inwoners bleken te controleren op bijstandsfraude. Dankzij een beroep op de Wet openbaarheid van bestuur (Wob) van de onderzoeksjournalisten kwam de praktijk bij de gemeenten aan het licht. Volgens het onderzoek van journalistencollectief Lighthouse Report, radioprogramma Argos en NRC, stond het frauderisico-systeem ‘vol vooroordelen’. Zo zouden woonwagenbewoners standaard een hoge risicoscore krijgen, evenals bouwvakkers, taxichauffeurs, mensen in de schoonmaak en alleenstaanden woonachtig in risicowijken. Ook zouden vrouwelijke kappers een groter risico op fraude hebben dan mannelijke kappers.

De scorekaart was gebaseerd op historische data en literatuuronderzoek, maar een wetenschappelijke validatie hiervan ontbrak. Bovendien was het instrument bijna twintig jaar geleden al ontwikkeld op basis van data uit 2001 en 2003.

Toch hebben 158 gemeenten gebruik gemaakt van de software, waarvan de meesten na een oproep van onder meer de VNG in 2020 hiermee stopten. Desondanks was een systeem dat op deze fraudescorekaart gebaseerd was tot voor kort nog steeds in gebruik bij de vier Utrechtse gemeenten. Na de bekendmaking in de media hebben inmiddels zij ook laten weten de software in de ban te doen.

Gemeenten vaker beticht van gemankeerde digitale systemen
De onthullingen over de Utrechtse gemeenten zijn opvallend, omdat gemeenten al vaker nadrukkelijk op de vingers zijn getikt vanwege het gebruik van omstreden digitale middelen voor fraudeopsporing.

Zo oordeelde de rechter begin 2020 dat het fraudeopsporingsinstrument Systeem Risico Indicatie (SyRI) dat door meerdere gemeenten werd gebruikt strijdig was met mensenrechten, mede doordat dit systeem moeilijk te doorgronden bleek voor zowel burgers als de gemeente zelf.

Een daarop volgend systeem voor bijstandsfraudebestrijding voldeed volgens een rapport van de lokale Rekenkamer van Rotterdam uit 2021 eveneens niet, vanwege onder meer gebrekkige transparantie en eerlijkheid van het algoritme. Een Wob-verzoek van Argos en Lighthouse Report later dat jaar legde hierbij bloot hoe kenmerken als leeftijd, geslacht, woonwijk en taal werden meegenomen in frauderisico-voorspellingen.

Ook de gemeente Nissewaard stopte vorig jaar met een bijstandsfraude-algoritme, nadat na aanhoudende onduidelijkheid op vragen uit de gemeenteraad

en een aangespannen rechtszaak door de FNV een onderzoek door TNO werd ingesteld om het systeem door te lichten. Hieruit bleek dat dit algoritme, dat de gemeente bij een externe partij had ingekocht, tot onbetrouwbare uitkomsten leidde.

Ook andere overheidsinstanties gebruik(t)en mogelijk discriminerende systemen
Problemen met algoritmes beperken zich niet tot gemeenten. Lighthouse Reports, Argos en NRC berichtten begin mei nog dat de Immigratie- en Naturalisatiedienst (IND) zich schuldig maakte aan etnisch profileren.  Om fraude met verblijfsvergunningen te bestrijden, gebruikte de IND een risicomodel waardoor bedrijven met bestuurders met een geboorteplaats buiten Nederland extra (streng) werden gecontroleerd.

Bedrijven werden automatisch beoordeeld op basis van een aantal objectieve bedrijfskenmerken, maar uit een Wob-verzoek kwam naar voren dat de IND ook nog handmatig variabelen kon toevoegen aan dit risicomodel. De IND registreerde hier de geboorteplaats van bestuurders vanuit de database van de Kamer van Koophandel, om het bedrijfsbestuur in te delen op afkomst.

Naast deze discriminatoire redenatie kampte het model ook met een zwakke statistische onderbouwing, vanwege gebrek aan voldoende data over frauderende bedrijven. Ondanks interne waarschuwingen voor etnisch profileren in 2017, haalde de IND het model na een tijdelijke stop in 2021 pas begin 2022 definitief uit de lucht.

In beantwoording van Kamervragen wordt gesteld dat de IND de gegevens niet daadwerkelijk gebruikte voor de afwijzing van aanvragen.

Ook uit een recent rapport van de Algemene Rekenkamer bleek dat van negen getoetste algoritmes die overheidsinstanties gebruiken, er in drie een risico op ‘vooringenomenheid’ of discriminatie kon huizen. Zo schat de Rekenkamer een kans op ‘onwenselijke systematische afwijkingen’ hoog in bij het lerende algoritme van het Criminaliteits Anticipatie Systeem (CAS) dat de Politie gebruikt om plaatsen en tijdstippen van criminaliteit te voorspellen. Dit omdat het model gebruik maakt van historische data waarin mogelijke bias is ontstaan, doordat bijvoorbeeld in het verleden bepaalde wijken intensiever zijn gecontroleerd. Uit de beantwoording van Kamervragen blijkt overigens

dat de Rekenkamer niet zelf heeft vastgesteld dat er sprake was van discriminatie, maar dat de minister van Justitie en Veiligheid desalniettemin de politie heeft verzocht om extra inspanningen te verrichten om het gehanteerde criminaliteitsvoorspellingssysteem te controleren.

Gemeenten worstelen met verantwoord algoritmegebruik

De vraag is hoe het kan dat, ondanks de maatschappelijke schijnwerpers, dergelijke signalen zich blijven aandienen. Uit eerder onderzoek door Hooghiemstra & Partners van vorig jaar in opdracht van het College voor de Rechten van de Mens, bleek dat gemeenten die algoritmes inzetten welwillend zijn om het gebruik van digitale systemen in lijn te krijgen met mensenrechten, maar nog niet goed weten hoe zij dit moeten doen. Zo zitten organisatorische knelpunten tussen afdelingen en partijen een goede samenwerking soms in de weg.

Daarnaast bleek dat de bescherming van persoonsgegevens dankzij de wettelijk verplichte Data Protection Impact Assessment (DPIA) bij gemeenten doorgaans goed op de radar staat, maar het voorkomen van discriminatie en toetsen van impact op andere mensenrechten nog niet structureel is ingericht.

Desondanks zijn er gemeenten die hier wel nadrukkelijk mee aan de slag zijn gegaan. Verschillende gemeenten, zoals de gemeente Amsterdam, hanteren een algoritmeregister om aan inwoners uit te leggen hoe bepaalde algoritmes van de gemeente werken die als mogelijk risicovol te beschouwen zijn. De gemeente Rotterdam richtte zich naast het hanteren van een algoritmeregister tot het ‘Impact Assessment Mensenrechten en Algoritmes’ (IAMA), een instrument dat aanspoort om, met een brede organisatiesamenstelling, op een verantwoorde manier algoritmes af te wegen en in te zetten.

De gemeente Rotterdam is niet de enige, maar niet bekend is hoeveel gemeenten en andere overheden een beroep doen op instrumenten als het IAMA en de Handreiking Non-discriminatie by design, die beiden in opdracht van het ministerie van Binnenlandse Zaken en Koninkrijkrelaties zijn ontwikkeld.

De onthullingen zoals die over de Utrechtse gemeenten zijn in dat licht extra teleurstellend, omdat zowel de luide maatschappelijke kritiek op overheden die dergelijke fouten begaan, als de feitelijke beschikbaarheid van deze instrumenten, onvoldoende blijken te zijn voor overheidsinstanties om uit eigen beweging afscheid te nemen van al langer als omstreden bestempelde fraudebestrijdingssoftware.

Het huidige aanbod van bestaande instrumenten is zeker te waarderen, maar de effectiviteit hiervan is door de omvang in zowel aantal als inhoud, in combinatie met een vrijblijvend karakter, vooralsnog in twijfel te trekken. Hierdoor vreest het College dat de onthullingen over de Utrechtse gemeenten niet de laatste zullen zijn. Het volgt dan ook met belangstelling de ontwikkelingen rondom de moties die een mensenrechtenimpact assessment en het gebruik van algoritmeregisters verplicht stellen.

Stel een verplichte discriminatietoets in
In aanvulling daarop, mede naar aanleiding van de aanhoudende signalen, vindt het College het noodzakelijk om een bindende, effectieve discriminatietoets voor het gebruik van digitale systemen door de overheid in te stellen.

Vorig jaar publiceerde het College al een toetsingskader voor risicoprofielen om etnisch profileren om etnisch profileren in de praktijk te helpen voorkomen. Dit toetsingskader biedt handvatten voor overheidsinstanties voor het doorlichten en beoordelen van een risicoprofiel op discriminatie specifiek op grond van ras en nationaliteit. Zo zou het beleid van de Utrechtse gemeenten en de IND niet door deze toetsing heen zijn gekomen.

Een brede, verplichte discriminatietoets voor het gebruik van digitale systemen – dus ook voor andere toepassingen dan risicoprofilering en voor andere discriminatiegronden – moeten dergelijke praktijken voorkomen. Een discriminatietoets dient niet alleen gebruikt te worden voor kwaliteitsanalyses van gebruikte data en algoritmische modellen. Ook moet het toegepast worden op (motivaties van) het achterliggende beleid én op wat voor effect een digitaal systeem in de praktijk heeft, wanneer een ambtenaar als eindgebruiker op basis van door algoritmes berekende uitkomsten een beslissing moet nemen.

Ook zou een discriminatietoets niet alleen uitgevoerd moeten worden bij de ontwikkeling van nieuwe systemen, maar ook op reeds bestaande processen en meermaals gedurende de levensloop van systemen; veranderingen in data, beleid of personeel kunnen immers weer nieuwe risico’s met zich brengen. Juist bij systemen met een door techniek gesloten karakter – helemaal bij zelflerende algoritmes – dient een toets op vrijwaring van discriminatie zorgvuldig te zijn.

Ook het Rathenau Instituut deed een vergelijkbare aanbeveling in zijn recent verschenen rapport Algoritmes afwegen, over de mensenrechtelijke uitdagingen waar uitvoeringsinstanties die profilerende algoritmes willen inzetten mee te maken krijgen. Volgens het instituut ontbreekt een transparante biastoetsing voor (lerende) algoritmes, evenals een goede vertaalslag van wetgeving en ethiek naar specifiekere, mensenrechtelijke normenkaders die voor organisaties relevant zijn.

Wat doet het College?
Het College werkt binnen het programma Digitalisering & Mensenrechten aan een project om de wettelijke transparantieverplichtingen voor algoritmegebruik door bestuursorganen nader in kaart te brengen.

Na het zomerreces zal een afvaardiging van het College deelnemen aan een rondetafelgesprek van de vaste commissie Digitale Zaken over kunstmatige intelligentie (AI), waarbij het College zijn voorstel voor een discriminatietoets zal toelichten.

In een eerdere schriftelijke inbreng voor de vaste commissie van Digitale Zaken vroeg het College al kort aandacht voor discriminatierisico’s bij het gebruik van AI. Zo wordt er onvoldoende rekening gehouden met (indirecte) discriminatie bij de ontwikkeling van AI-systemen, is er – ook blijkens hierboven genoemde voorbeelden – sprake van gebrekkige transparantie en uitlegbaarheid over gebruikte algoritmes, en is het voor burgers amper aan te tonen dat ze door digitale systemen zijn gediscrimineerd.

Verder rondt het College zijn voorbereidend onderzoek af voor de verzoeken om oordelen over verboden onderscheid bij de kindertoeslagaffaire. De opgedane ervaring met dit mede op data-analyse berustende onderzoek biedt kansen voor de ontwikkeling van een discriminatietoets.

Geplaatst in Grondrechten | Tags: , , , , , , , | Plaats een reactie

De NSA staat op elke smartphone | interview Kamphuis

Geplaatst op 13 augustus 2022 door Ellen Timmer

De verdwenen Arjen Kamphuis werd in januari 2017 geïnterviewd door Herbert Blankesteijn en Ben van der Burg voor de BNR-podcast De Technoloog, in ‘De NSA staat op elke smartphone‘. Het is een zeer goede aflevering die nog steeds het (her)beluisteren waard is!

Onder meer legt hij uit dat databescherming/privacy geen luxe is maar een mensenrecht, dat bescherming moet bieden tegen datagraaiende grote ondernemingen en overheden.

Over de verdwijning zijn door De Technoloog ook podcasts gemaakt, 5 juli 2022 met Helma de Boer, 30 januari 2020 met Jos Weyers. Verder is er een video, Ze weten alles van je (Videoland). Sanne Terlingen schreef een artikel voor NRC (betaalmuur). Lees de kritische noot van Karin Spaink, die de betekenis van Kamphuis beperkt acht. Neemt niet weg dat ik de BNR podcast uit 2017 heel goed vind.

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , | Plaats een reactie

Uitvraagziekte in de financiële sector

Geplaatst op 13 augustus 2022 door Ellen Timmer

De moderne overheid ‘vraagt uit’, oftewel: vraagt ondernemers en organisaties de hemd van het lijf om op basis daarvan beleid en regelgeving te bedenken.
In de financiële sector heeft dit zulke absurde omvang gekregen dat er zelfs een consultatie is gestart om onnodige dubbele vragen tegen te gaan, want AFM en DNB kondigden in juli hun consultatie aan. De AFM schreef:

Inbreng gevraagd voor terugdringen overlap in vragenlijsten AFM en DNB
14 juli 2022 Nieuws

Heeft u het idee wel eens dubbel werk te moeten doen bij verzoeken om informatie van de Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB)? Laat het ons weten. Wij willen deze dubbele lasten bij uitvragen en rapportages zoveel mogelijk voorkomen.

Wij vragen alle ondernemingen die tegen dubbelingen aanlopen, om voor 15 september een korte, gezamenlijke vragenlijst in te vullen, zodat wij de doublures kunnen inventariseren. Het gaat om één vragenlijst voor de AFM en DNB samen.

Signalen uit de sector
Reden voor deze uitvraag is dat vanuit de sector signalen zijn gekomen over de overlap in uitvragen. Dit kwam ook naar voren in de evaluatie van de AFM en DNB als zelfstandig bestuursorgaan (zbo) in 2021.

 

Het is verheugend dat deze bestuursorganen luisteren naar klachten en teleurstellend dat zij het niet zelf konden bedenken.

Mijn bericht op LinkedIn over de consultatie bereikte na een week al meer dan 900 impressies:

 

Lees in dit verband ook:

Geplaatst in Bestuursrecht, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , | Plaats een reactie

PSD2 en open finance in het MOB rapport

Geplaatst op 12 augustus 2022 door Ellen Timmer

Het betalingslandschap kan flink gaan veranderen, zo blijkt uit het rapport 2021 van het Maatschappelijk Overleg Betalingsverkeer (MOB), een organisatie die geacht wordt op te komen voor de belang van de gebruikers van betalingsdiensten.

De praktijk van PSD2
In het hoofdstuk over Europese ontwikkelingen (pagina 15 en verder) wordt de invoering van de herziene Europese richtlijn betaaldiensten, Richtlijn (EU) 2015/2366, ‘PSD2’, besproken en wordt gesignaleerd dat de markteffecten beperkt zijn. Weliswaar zijn er diverse aanbieders van rekeninginformatie- en/of betaalinitiatiediensten, maar de burgers staan niet te trappelen om er gebruik van te maken:

De eigen betaalgegevens worden door consumenten als privacygevoelig ervaren. DNB-onderzoek 20 laat zien dat mensen terughoudend zijn om hun betaalgegevens met derde partijen te delen. Dat geldt zeker als deze gegevens niet anoniem worden gebruikt. Als consumenten hun gegevens delen, doen zij dat het liefst met hun eigen bank en minder graag met bijvoorbeeld bigtechs, webwinkels en verzekeraars.

20 M. Bijlsma, C. van der Cruijsen and N. Jonker, “Not all data are created equal – Data sharing and privacy”, DNB Working Paper No. 728, november 2021.

Evaluatie PSD2
PSD2 wordt zowel nationaal als Europees geëvalueerd, zo vertelt het MOB in neutrale bewoordingen. Het MOB laat zich er niet over uit of PSD2 (de toegang tot financiële gegevens van klanten) wel in het belang van de burger is.

Een ander element van PSD2, de betere beveiliging van de toegang (sterke klantauthenticatie, ‘strong customer authentication‘ / ‘SCA’), is uiteraard wel in het belang van mensen.

De toekomst: open finance
MOB vermeldt dat in Europa wordt nagedacht over nog meer delen van financiële persoonsgegevens van burgers, onder de noemer van ‘open finance’.
Ook hier is de vraag of dit de belangen van de burgers en het mkb dient. Mijn indruk is dat dit soort initiatieven meer in het belang van grote bedrijven zijn, die persoonsgegevens kunnen oogsten en het datagraaiende bedrijfsmodel van de grote Amerikaanse advertentiebedrijven (Facebook en Google) kunnen na-apen. Dat vind ik geen goede ontwikkeling.

Naar mijn mening zijn Nederland en Europa niet klaar voor open finance, omdat databescherming nu al niet op orde is: de AVG wordt grootschalig overtreden en handhaving vindt onvoldoende plaats, onder meer omdat de toezichthouders (zoals de Nederlandse Autoriteit Persoonsgegevens) over onvoldoende financiële middelen, handhavingsmogelijkheden en personeel beschikken. Verder zit databescherming niet in de ‘genen’ van zowel de Nederlandse als de Europese overheid, zoals uit diverse databeschermingsschandalen kan worden afgeleid. In die zin heb ik gereageerd op de PSD2- en open finance-consultaties van de Europese Commissie.

De Europese Commissie kwam in juli dit jaar in het nieuws vanwege overtreding van de databeschermingsregels, lees onder meer Euractiv, “European Commission sued for violating EU’s data protection rules” en de EuGD, een not-for-profit die de procedure steunt, “EuGD supports data protection lawsuit against European Commission”.

Gegevens van derden worden opnieuw vergeten
De suggestie wordt gewekt dat het bij open finance alleen gaat om het met toestemming van de gebruiker delen van financiële persoonsgegevens, wat de halve waarheid is. Immers, in transactiegegevens zitten niet alleen de gegevens van degene die toestemming heeft gegeven, maar ook van diens wederpartij (de ‘derde’) die van niets weet en geen toestemming heeft gegeven. (Datzelfde probleem is bij PSD2 aan de orde, zie 1, 2, 3, 4, 5.)

Misbruik van verwarring
Wat mij betreft zijn wel nog lang niet toe aan open finance. De databeschermingsvolwassenheid ontbreekt zowel bij overheden als bedrijven. Wat mij betreft wordt gefocust op een veilig en voorspelbaar betalingsverkeer, met streng toezicht op het gebied van databescherming en integriteit.

Die voorspelbaarheid is belangrijk, zoals AMLC al in 2017 signaleerde, omdat digitale verwarring wordt misbruikt door criminelen (nu al grootschalig zichtbaar).

Die voorspelbaarheid komt ook in de consultatiebijdrage van de Europese Banken Federatie (EBF) van 15 juli jl. in de Europese PSD2-consultatie voor professionals aan de orde [*].
EBF constateert dat de sterke klantauthenticatie (‘strong customer authentication‘ / ‘SCA’) van PSD2 nuttig is maar dat criminelen als gevolg van SCA andere wegen hebben ingeslagen, zie onder meer pagina 15 van de bijdrage, waarin wordt gezegd: “PSD2 lacks measures to fight fraud more effectively” en wordt opgemerkt dat het voor klanten lastig is vast te stellen of een aanbieder onder toezicht staat, zie hierna de pagina met markering door mij:

Overigens denk ik dat het opvoeden van klanten, door EBF in een na laatste volzin bepleit, niet voldoende is. Ook betalingsdienstverleners zullen hun gedrag moeten aanpassen en voorspelbaar maken, zodat het makkelijker wordt om fraudeurs te herkennen en te controleren of een aanbieder onder toezicht staat. De overheden zullen daar een bijdrage aan kunnen bieden door veilige manieren om te checken of een betalingsdienstverlener een vergunning heeft. Verder zal rekening moeten worden gehouden met de zeer grote groep digitaal minder vaardige gebruikers van digitale diensten (het is een illusie dat zij door opleiding digitaal vaardiger zullen worden).

Tot slot denk ik dat er gededigitaliseerd moet worden: financiële instellingen dienen weer kantoren te openen en hun klanten fysiek te ontmoeten, om ingewikkelde en onveilige digitale processen te voorkomen.

 

[*] De bespreking van dit onderdeel houdt geen oordeel in over de rest van de consultatiebijdrage.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , | Plaats een reactie

ABN Amro ziet kosten witwasonderzoek opnieuw oplopen | Wwft

Geplaatst op 12 augustus 2022 door Ellen Timmer

In het FD verscheen op 10 augustus het artikel ABN Amro ziet kosten witwasonderzoek opnieuw oplopen (betaalmuur). En er is niemand die vraagt of al deze investeringen wel zin hebben.

Intussen kunnen de burgers de rekeningen van de banken betalen en leggen overheid en banken geen verantwoording aan ons af van de wijze waarop ons geld wordt besteed.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , | Plaats een reactie