Irish data protection authority starts an inquiry in respect of adtech company

The Irish data protection authority, the Data Protection Commission (DPC), notified on 2 May that it has started an inquiry in respect of a major adtech company, Quantcast International Limited. DPC writes:

Since the application of the GDPR significant concerns have been raised by individuals and privacy advocates concerning the conduct of technology companies operating in the online advertising sector and their compliance with the GDPR. Arising from a submission to the Data Protection Commission by Privacy International, a statutory inquiry pursuant to section 110 of the Data Protection Action 2018 has been commenced in respect of Quantcast International Limited. The purpose of the inquiry is to establish whether the company’s processing and aggregating of personal data for the purposes of profiling and utilising the profiles generated for targeted advertising is in compliance with the relevant provisions of the GDPR. The GDPR principle of transparency and retention practices will also be examined.

Privacy International filed a complaint against Quantcast. Read their article of 2 May, where they explain their objections against the adtech company that is systematically collecting and exploiting people’s data in ways people are unaware of.

Geplaatst in ICT, privacy, e-commerce | Tags: , , | Een reactie plaatsen

Privacy en criminaliteitsbestrijding | eerste ervaringen in Nederland met de AVG | Wwft

Op dit moment wordt door mensen met wat minder kennis van de privacyregelgeving verkondigd dat privacy in de weg zou staan aan criminaliteitsbestrijding.
Dat is onjuist, want met een wettelijke grondslag mogen persoonsgegevens ten behoeve van de bestrijding van criminaliteit worden verwerkt en uitgewisseld. De gedachte daar achter is dat een dergelijke verwerking zorgvuldig moet zijn. Voorts biedt de huidige regelgeving al de nodige mogelijkheden.

In dat verband valt op dat de brief die de Minister van Rechtsbescherming in april jl. schreef over de uitvoeringspraktijk van de AVG en de daarmee samenhangende Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) niet rept over ernstige belemmering van de criminaliteitsbestrijding.

Zwarte lijsten
In de bijlage bij de brief van de Minister wordt het onderwerp ‘zwarte lijsten’ aangeroerd:

In hun brief van 19 september 2018 stellen VNO-NCW en MKB Nederland dat de schade voor het bedrijfsleven door fraude jaarlijks in de miljarden euro’s loopt. Zij noemen in dat verband het sjoemelen met creditcards, verzekeringen en spooknota’s. In navolging van de succesvolle aanpak in Engeland willen volgens deze organisaties ook bedrijven in Nederland informatie over wangedrag en fraudeurs onderling kunnen uitwisselen. Op dit moment zou dat echter niet mogelijk zijn tussen bedrijven uit verschillende sectoren. Hoewel «zwarte lijsten» binnen bepaalde sectoren wel zijn toegestaan, zou de AP geen fiat geven voor het cross-sectoraal delen van informatie. Volgens VNO-NCW en MKB Nederland zou een mogelijke oplossing zijn gelegen in het treffen van een expliciete wettelijke grondslag voor cross-sectoraal uitwisselen van kennis over deze fraudeurs.

In reactie op dit voorstel wijs ik erop dat het aanleggen van zwarte lijsten naar zijn aard vaak gepaard gaat met het verwerken van persoonsgegevens van strafrechtelijke aard. Het verwerken daarvan is op grond van artikel 10 van de AVG alleen toegestaan indien dit geschiedt onder toezicht van de overheid of indien de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkene bevatten. De UAVG maak het op die grond mogelijk om persoonsgegevens van strafrechtelijke aard ten behoeve van derden te verwerken, onder meer indien de AP hiervoor een vergunning heeft verleend (artikel 33, vierde lid, aanhef en onderdeel c). De AP kan een dergelijke vergunning verlenen, indien de verwerking noodzakelijk is met het oog op een zwaarwegend belang van derden en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad (artikel 33, vijfde lid).

Het tegengaan van fraude kan als een zwaarwegend belang voor een bedrijf of onderneming worden aangemerkt. Het is dus op grond van deze bepaling mogelijk om zwarte lijsten te delen. De AP zal dan wel vooraf, in het kader van de vergunningaanvraag, noodzaak en evenredigheid toetsen. Hierbij laat zij onder meer de volgende omstandigheden een rol spelen:

• de mate waarin opname van een individu in het systeem waarop de gegevensuitwisseling betrekking heeft, kan betekenen dat betrokkene wordt uitgesloten van bijvoorbeeld eerste levensbehoeften of van goederen of diensten die betrekking hebben op een (klassiek of sociaal) grondrecht;
• de kwetsbaarheid van bepaalde groepen betrokkenen, zoals klanten en werknemers die minderjarig zijn of oudere werknemers;
• de reikwijdte van het systeem, in termen van zowel degenen die het systeem kunnen vullen, degenen die gegevens in het systeem kunnen raadplegen en degenen van wie persoonsgegevens in het systeem worden verwerkt. Hoe groter de reikwijdte, hoe ingrijpender de gevolgen voor opname van de betrokkene in het systeem kunnen zijn. Naarmate de reikwijdte van een systeem groter is, zullen derhalve de waarborgen voor betrokkenen zwaarder moeten wegen of zal het systeem in het geheel niet door de toetsing komen. Het beperken van de reikwijdte van het systeem (geografisch, sectoraal of anderszins) kan bijdragen aan een positieve uitkomst van de proportionaliteitsafweging.12

Wil er aanleiding zijn te overwegen de UAVG te wijzigen overeenkomstig het voorstel van VNO/NCW en MKB Nederland, dan zullen eerst ervaringen moeten zijn opgedaan met het indienen van een aanvraag tot een vergunning als bedoeld in artikel 33, vijfde lid, UAVG en de reactie daarop van de AP. Met het oog hierop en gelet op de nieuwe toepasselijke aanvraagprocedure zal ik, samen met VNO/NCW en MKB Nederland, in gesprek gaan met de AP over de betekenis hiervan voor nieuwe aanvragen voor cross-sectorale uitwisseling van gegevens over fraudeurs. De ervaringen die door bedrijven met deze procedure zijn opgedaan kunnen worden betrokken in het door mijn ambtgenoot van Justitie en Veiligheid toegezegde vergelijkende onderzoek naar cross-sectorale gegevensuitwisseling tussen private partijen in Nederland en in het Verenigd Koninkrijk. Daarbij zal in het bijzonder worden gekeken naar de eventuele meerwaarde van het systeem Cifas, dat in het Verenigd Koninkrijk bestaat, en hoe dit eventueel toepasbaar is in het Nederlandse rechtssysteem.13

[Noten]
12 Kamerstuk 34 851, nr. 7, p. 55.
13 Kamerstuk 29 911, nr. 210, p. 26.

 

Profilering / geautomatiseerde besluitvorming
Ook de uitzonderingen op het verbod van geautomatiseerde besluitvorming in het kader van criminaliteitsbestrijding komen in de bijlage bij de brief aan bod. Dit is relevant voor Wwft-plichtige ondernemingen, zoals banken, die geacht worden geautomatiseerd criminaliteit op te sporen.

De Minister schrijft het volgende over dit onderwerp:

In de motie Koopmans c.s. (Kamerstuk 34 851, nr. 19) wordt naar de reikwijdte van de uitzonderingen op het verbod van geautomatiseerde individuele besluitvorming gevraagd. Dit verbod is neergelegd in artikel 22 AVG: «De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft».

In dit artikel worden een aantal begrippen genoemd zoals «profilering», «besluit» en «hem in aanmerkelijke mate treft». Deze begrippen dienen als volgt te worden uitgelegd.

In de AVG wordt profilering omschreven als geautomatiseerde verwerking van persoonsgegevens voor het evalueren van persoonlijke aspecten, met name om zaken over personen te analyseren of te voorspellen. Het gebruik van het woord «evalueren» suggereert dat bij profilering een zekere beoordeling over een persoon wordt gemaakt».

In algemene bewoordingen betekent profilering het verzamelen van informatie over een persoon (of een groep personen) en het evalueren van hun kenmerken of gedragspatronen om deze persoon of personen in een bepaalde categorie of groep te plaatsen, met name om zijn of hun: vermogen om een taak uit te voeren; interesses; of waarschijnlijk gedrag te analyseren of hierover voorspellingen te doen.33

Het begrip «besluit» in artikel 22 moet ruimer worden gelezen dan in de Algemene wet bestuursrecht staat. Zo vallen beslissingen genomen door private partijen ook onder de reikwijdte van dit artikel.34

Wanneer een gevolg verbonden is aan het besluit dat iemand in «aanmerkelijke mate treft», zelfs zonder dat er iets verandert aan zijn wettelijke rechten of plichten, dan kan een betrokkene toch in zodanige mate worden getroffen dat de bescherming van artikel 22 AVG geldt. De drempel voor aanmerkelijke mate moet dus vergelijkbaar zijn met de mate waarin de betrokkene wordt getroffen bij een besluit waaraan wèl een rechtsgevolg verbonden is.35

Op grond van artikel 22, tweede lid, onder b. AVG geldt het verbod op geautomatiseerde besluitvorming niet, indien het besluit is toegestaan bij – onder meer – een lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijke van toepassing is en die ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene.

Van deze mogelijkheid heeft de Nederlandse wetgever gebruik gemaakt door in artikel 40, eerste lid, UAVG te bepalen dat het verbod uit het eerste lid van artikel 22 van de AVG niet geldt, indien de geautomatiseerde individuele besluitvorming, noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust of noodzakelijk is voor de vervulling van een taak van algemeen belang. Deze nationaal rechtelijke uitzondering geldt echter expliciet niet voor besluiten die tot stand zijn gekomen op basis van profilering.

Branchevereniging VNO-NCW en MKB Nederland heeft mij bij brief van 19 september 2018 laten weten dat wanneer er geen geautomatiseerde besluiten op basis van profielen mogen worden genomen dit de ontwikkeling van nieuw profiel-gebaseerde technieken in de weg zit. Deze nieuwe technieken kunnen volgens de branchevereniging bijvoorbeeld worden gebruikt om beter op fraude te kunnen detecteren of witwaspraktijken te voorkomen. VNO-NCW en MKB Nederland stelt daarom als mogelijke oplossing voor artikel 40, eerste lid, UAVG aan te passen door te voorzien in een meer algemene uitzondering op het verbod van artikel 22 AVG, die wel ook geldt voor besluiten genomen op basis van profilering.

Geautomatiseerde besluitvorming op basis van profilering brengt echter het risico mee dat de betrokken individuele persoon een generiek kenmerk van een groep personen wordt tegengeworpen, terwijl dat kenmerk op hem niet van toepassing is en daarmee voor hem een zogenoemd false positive oplevert. Ook bestaat het risico dat de betrokken persoon niet aan alle kenmerken van de groep voldoet, maar wel tot die groep zou moeten worden gerekend en daarmee voor hem een zogenoemd false negative oplevert. Deze risico’s zijn van dien aard dat het ongepast zou zijn de algemene grondslag voor geautomatiseerde besluitvorming die artikel 40 van de UAVG biedt, ook te laten gelden voor geautomatiseerde besluitvorming op basis van profilering.
Als er in de toekomst behoefte ontstaat in een concrete sector om geautomatiseerde besluitvorming op basis van profilering te laten plaatsvinden dan zal daarvoor een specifieke op de situatie/de sector toegespitste wettelijke grondslag nodig zijn, waarbij dan ook specifieke maatregelen dienen te worden getroffen om de genoemde risico’s te mitigeren en de rechten van betrokkene te waarborgen.36

Tegen deze achtergrond wijst het kabinet een algemene grondslag voor geautomatiseerde besluitvorming op basis van profilering, zoals door VNO-NCW en MKB Nederland voorgesteld, af, omdat zij onvoldoende specifiek is en ook geen specifieke maatregelen behelst waarmee eerder genoemde risico’s kunnen worden beperkt. Dit impliceert overigens niet dat profilering om fraude te detecteren niet mogelijk zou zijn. Artikel 22 AVG bevat immers geen algemeen verbod op profilering, noch een verbod op geautomatiseerde verwerking van persoonsgegevens als een onderdeel van besluitvorming. Het opstellen van bijvoorbeeld een risicoprofiel van een persoon met behulp van geautomatiseerde processen is op zichzelf dus niet verboden, zolang er op enig moment in het proces sprake is van menselijke tussenkomst. Om van «menselijke tussenkomst» te kunnen spreken moet de verwerkingsverantwoordelijke er dan wel voor zorgen dat het toezicht op de besluitvorming zinvol is en niet slechts een symbolische handeling vormt. Zo moet deze tussenkomst worden uitgevoerd door iemand die bevoegd en bekwaam is om het besluit te veranderen en die alle relevante gegevens in zijn analyse dient te betrekken.37 Op deze wijze mag met behulp van profilering in beginsel ook een proces worden ingericht dat detectie van fraude tot doel heeft.

[Noten]
33 Groep Gegevensbescherming artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, zoals laatstelijk gewijzigd en vastgesteld op 6 februari 2018, p. 7. Deze richtsnoeren zijn op 25 mei 2018 overgenomen door het Europees Comité voor gegevensbescherming («de gezamenlijke toezichthouders»).
34 Kamerstuk 34 851, nr. 3, p. 46.
35 Groep Gegevensbescherming artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, p. 25.
36 Kamerstuk 34 851, nr. 7, p. 72–73.
37 Groep Gegevensbescherming artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, zoals laatstelijk gewijzigd en vastgesteld op 6 februari 2018, p. 24–25.

Geplaatst in Fraude, witwasbestrijding, Wwft, Grondrechten, rechtsstaat e.d., ICT, privacy, e-commerce | Tags: , , , | Een reactie plaatsen

Bernold Nieuwesteeg treedt op bij Rotterdams fintech symposium op 23 mei

De Erasmus School of Law (ESL) en het International Center for Financial law & Governance (ICFG) organiseren op 23 mei aanstaande het symposium “Fintech: recht, regulering & governance”. Volgens de uitnodiging wordt het onderwerp breed aangevlogen, men schrijft onder meer (waarbij het financiële stopwoord “mitigeren” niet kon ontbreken):

Wat zijn de gevolgen van deze ontwikkelingen voor onze samenleving? Wordt de samenleving volledig digitaal? Welke technische, financiële en gedragsrisico’s brengen deze ontwikkelingen met zich mee? Wat voor toezicht, beleid en regelgeving hebben we nodig ter mitigering van de risico’s?

Grote maatschappelijke veranderingen op komst
Of de inleiders een dergelijke brede vraagstelling gaan dekken, moet nog worden bezien. Uit wat ik over de inleiders kon vinden kan ik niet zien of zij een bredere blik hebben op het thema, zoals onder meer bij het Rathenau Instituut is te vinden.
Mij lijkt dat er enorme gedragsveranderingen en sociale veranderingen gaan optreden en dat de financiële onveiligheid van mensen en bedrijven enorm zal toenemen als er geen goede maatregelen worden genomen.

Nieuwesteeg over cybersecurity
Één van de inleiders, Bernold Nieuwesteeg, zijn onderwerp is cybersecurity en datalekken, trok mijn aandacht. Aan zijn publicatieoverzicht te zien is hij actief in het grensgebied van recht en IT. In een interview in Mr. sprak hij de volgende verstandige woorden over de manier waarop cybersecurity in de regelgeving ingebed moet worden:

Cybersecurity is te belangrijk is om op één paard te wedden. We zullen enigszins ‘lean’ verschillende (juridische) oplossingen in de praktijk moeten testen. De goed werkende oplossingen kunnen we dan opschalen.
Ransomware, DDoS-aanvallen en datalekken: de cyberonveiligheid neemt toe. Volgens u dreigt de huidige wetgeving op het gebied van cybersecurity te falen doordat de bestaande wetten ‘dom’ zijn.

Hoe kunnen deze slimmer worden gemaakt?
We zouden bijvoorbeeld de handhaving van bestaande wetten in cybersecurity slimmer kunnen maken. Vaak worden bijvoorbeeld hoge boetes (zoals in de AVG) als een panacee gezien. Als de boete maar hoog genoeg is, dan houdt men zich vanzelf wel aan de wet, zo is dan de gedachte. Maar hoge boetes hebben ook nadelen. Ze leiden bijvoorbeeld tot bovenmatige focus op ‘compliance’, in plaats van tot een verbetering van de cybersecurity. Denk maar aan alle privacyspam in ieders mailbox afgelopen mei. De wetgever zou bijvoorbeeld ook organisaties kunnen belonen voor wenselijk gedrag, op een manier die bijdraagt aan de nationale cyberveiligheid.

 

Meer informatie:

Over Nieuwesteeg:

Geplaatst in Financieel recht, onder meer Wft, Wtt, ICT, privacy, e-commerce | Tags: , , , , , | Een reactie plaatsen

E-mail is onveilig, lees maar wat de Belastingdienst schrijft

Al eerder schreef ik over de onveiligheid van e-mail en dat daar niets aan wordt gedaan en wees ik op de informatie van de AIVD. Phishing is succesvol, dankzij de onveiligheid van e-mail.

Ook de Belastingdienst waarschuwt voor de onveiligheid van e-mail. De fiscus schrijft:

Anderen kunnen uw mail onder ogen krijgen. Doordat uw internetverbinding niet veilig is, bijvoorbeeld. Persoonlijke gegevens die u in uw e-mail zet, kunnen dan op straat komen te liggen (bijvoorbeeld uw burgerservicenummer of uw bankgegevens). En dat willen we voorkomen. Want we moeten samen met u zorgvuldig omgaan met uw gegevens.

Lees Waarom kan ik jullie niet mailen? op de website van de Belastingdienst.

 

Mijn eerdere bericht: E-mail is onveilig dus gebruik het niet | tip van de AIVD.
Alle berichten op dit blog over de onveiligheid van e-mail.


Aanvulling 10 mei 2019
E-mail kan op allerlei manieren worden onderschept. Onder meer door malware, lees “Malware voor Microsoft Exchange-servers onderschept e-mails“, security.nl.

Geplaatst in ICT, privacy, e-commerce | Tags: , , , , | Een reactie plaatsen

De risico’s van PSD2

Is PSD2 een domme beslissing van Europa? Heeft Europa zich door grote bedrijven voor de gek laten houden? Er wordt nog steeds over PSD2 geschreven.

Op 2 mei verscheen het artikel PSD2 and Open Banking rush eroding banks’ mobile security measures van Alex Hamilton. Hamilton verwijst onder meer naar een Aite rapport In Plain Sight: The Vulnerability Epidemic in Financial Mobile Apps (pdf) van april 2019.

In het tijdschrift iBestuur stond het artikel “Privacyhorror of welkome innovatie?“, geschreven door Peter Olsthoorn, 2 mei 2019. Hij zet de bezwaren op een rijtje:

Welke bezwaren zijn er?
• Betaaldata zijn zeer gevoelig en leveren een uitgebreid profiel op.
• Je kunt toestemming wel intrekken, maar je moet er apart achteraan om data te laten wissen bij de fintech; en wie controleert dat?
• Gevaar dat grote partijen (webwinkels, app stores) klanten verplichten hun eigen betaaldiensten te gebruiken.
• Discriminatie op grond van betaalgedrag en financiële positie liggen voor de hand; zowel weigering van diensten en producten als prijsdifferentiatie naar gelang de dikte van de portemonnee.
• Met de rekeninggegevens van de klant zelf worden ook die van de tegenpartijen in de overboeking meegegeven, zonder hun benodigde toestemming.
• De bestaande banken maken de kosten, de fintechs en vooral grote partijen profiteren gratis.

 

Ook fraudeurs zijn al met PSD2 bezig. De Fraudehelpdesk waarschuwde op 4 april jl. voor een phishingmail “Voldoet uw betaalpas al aan de PSD2 wet?“. De Consumentenbond waarschuwt in een bericht van 12 april. De bond heeft een meldpunt geopend.

De Nederlandsche Bank waarschuwt niet…

Intussen doet DNB net of er niets aan de hand is:

Waarschuwingen voor de risico’s van PSD2 ontbreken.

Waarschuwing door het Anti Money Laundering Centre
Dat is vreemd, nu het Anti Money Laundering Centre (AMLC) al een tijd geleden adviseerde dat de gebruikers gewaarschuwd zouden worden voor de risico’s. In deze organisatie wordt samengewerkt door FIOD, politie, Openbaar Ministerie en de Financial Intelligence Unit (FIU).

Lees het AMLC rapport De tweede Europese betaaldienstenrichtlijn (PSD2) en de risico’s op fraude en witwassen.

Geplaatst in Financieel recht, onder meer Wft, Wtt, ICT, privacy, e-commerce | Tags: , , , , | Een reactie plaatsen

Bureau Kredietregistratie is niet transparant

Eerder besteedde ik aandacht aan een bijzondere datahandelaar, het Bureau Kredietregistratie (BKR), een stichting, opgericht door financiële instellingen met een monopoliepositie.

BKR moet zich aan de privacywetgeving houden. Uit recente berichten blijkt dat BKR de gang van zaken rondom inzage door betrokkenen heeft moeten aanpassen. Zie onder meer:

Het merkwaardige systeem van registreren van financiële gegevens, voor zover ik weet nog nooit wetenschappelijk onderzocht, lijkt onaangetast te blijven. Zie het artikel Geen verdere maatregelen inzake onterechte BKR-registraties dat ik aantrof bij de VVP (28 april 2019), waarin verslag wordt gedaan van beantwoording van vragen van leden van de Tweede Kamer over onterechte registraties.

Het BKR registreert niet alleen bepaalde schulden, maar heeft nog diverse andere datahandel activiteiten, zie de zakelijke pagina, waarin wordt vermeld dat zij handelen in kredietinformatie, fraudepreventieproducten leveren en financiële instellingen ondersteunen bij naleving van wet- en regelgeving.

Verantwoording
Hun maatschappelijke jaarverslag 2018 is hier (pdf) te vinden. Opmerkelijk is dat in dat verslag geen financiële gegevens over BKR zelf zijn opgenomen. Ook over de governance van BKR kon ik op de site niets vinden. Daarmee maakt BKR een slechte beurt. Een organisatie als deze hoort governance informatie op de site te verschaffen (onder meer statuten, reglementen, samenstelling bestuur en rvc) en het publiek te informeren over de wijze waarop zij wordt gefinancierd.

Publicatiestukken 2017
BKR is een ‘ondernemende’ stichting, die verplicht is haar jaarrekeningen bij het handelsregister te deponeren. Ik trof de publicatiestukken 2017 aan, waarin de activiteiten van BKR worden beschreven. Allereerst komt de algemeen bekende schuldendatabase aan bod, het Centraal Krediet Informatiesysteem (CKI).

Verder beheert BKR de Verificatie Informatie Systemen (VIS), waarmee BKR het bedrijfsleven informeert over gestolen, vermiste of om andere redenen ongeldig verklaarde identiteits- en reisdocumenten uit binnen- en buitenland. Daartoe ontvangt BKR gegevens van de politie.

BKR is actief met twee fraudebestrijdingsdatabases, te weten EVA (Externe Verwijzings Applicatie) en SFH (Stichting Fraudebestrijding Hypotheken). EVA is het gezamenlijke fraudepreventiesysteem van de Nederlandse Vereniging van Banken (NVB) en de Vereniging van Financieringsondernemingen in Nederland (VFN). Leden van de NVB en VFN kunnen met behulp van EVA nagaan of bepaalde (rechts)personen bij de eigen organisatie of bij collega-financiers fraudes of pogingen daartoe hebben ondernomen of op een andere manier een frauderisico vormen. Via SFH wisselen hypotheekverstrekkers gegevens uit ter bestrijding van fraude.

BKR meldt over een aantal databases te beschikken die ‘openbaar toegankelijk’ worden genoemd, te weten insolventie-informatie (dat zal de informatie zijn die ook via rechtspraak.nl verkregen kan worden) en informatie over informatie over Politically Exposed Persons (PEP’s). Dat laatste roept mijn nieuwsgierigheid op, aangezien alle Wwft-plichtigen moeten verifiëren of hun cliënten-natuurlijke personen en uiteindelijk belanghebbenden ‘PEP’ zijn.

Tot slot wordt melding gemaakt van een database over ‘problematische schulden’, waarover BKR schrijft: “Deze informatie wordt gedeeld met de gemeentelijke schuldhulporganisaties, die lokaal actie kunnen ondernemen. In 2017 zijn succesvolle pilots met dit systeem uitgevoerd en in 2018 zal dit verder worden uitgerold.

Oproep
Het voorgaande geeft aan dat BKR een belangrijke datahandelaar is, zodat meer financiële en governance informatie op zijn plaats is. Ik roep de statutair bestuurder, de heer Van den Bosch, en de raad van commissarissen (in een uittreksel van februari jl. zag ik onder meer de heer Eijffinger) op om hier verbetering in te brengen.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, rechtsstaat e.d. | Tags: , , , , , | Een reactie plaatsen

Adresboekjatten

Al eerder schreef ik over de adresboekjatpraktijken van digitale partijen zoals LinkedIn.
Maar er is natuurlijk één onderneming die het op dat gebied zeer bont maakt: Facebook. Uit een groot aantal berichten van afgelopen maand blijkt dat dit bedrijf ongelimiteerd heeft lopen graaien in de adresboeken van de gebruikers.

Bizar dat dit bedrijf nog bestaat en nog nooit enige schadevergoeding aan gebruikers en derden heeft betaald.

Overigens ben ik van mening dat ook met toestemming van de gebruiker die adresboeken niet opgehaald mogen worden, het gaat nl. om gegevens van de mensen in dat adresboek, zij moeten zelf toestemming geven.

Het wordt tijd dat adresboeken goed worden beschermd en de gegevens niet meer mogen worden geüpload naar IT-bedrijven.

 

Meer informatie:

Geplaatst in ICT, privacy, e-commerce | Tags: , | Een reactie plaatsen

VAR-jaarvergadering 24 mei over de toekomst van formele rechtskracht

De VAR vereniging voor bestuursrecht heeft voor de jaarvergadering van 23 mei a.s. ‘De toekomst van de formele rechtskracht‘ op de agenda staan. De preadviezen worden geschreven door Jaap Polak, Thomas Sanders, Bart Roozendaal en Marcelle Reneman.

Meer informatie: aankondiging op de site met nadere informatie op deze pagina.

Geplaatst in Bestuursrecht | Tags: | Een reactie plaatsen

Ha weer een register! | Transparantieregister Zorg

Op 29 april jl. is een internetconsultatie van start gegaan over weer een nieuw register. Een lid van de Tweede Kamer heeft een initiatiefwetsvoorstel ingediend, waarin moet worden geregeld dat “alle transacties groter dan vijftig euro, tussen farmaceutische – en hulpmiddelenindustrie enerzijds en beroepsbeoefenaar of patiëntenvereniging” moeten worden gemeld in een openbaar register. Het ‘melden‘ is nog steeds zeer in de mode bij de wettenmakers.

Ik zag bij een snelle blik op het concept wetsvoorstel dat er mooie vage teksten in voorkomen, met een hoog ZuidAs-gehalte, dus voor gewone mensen niet te lezen.

De kern is de tekst van een voorgesteld artikel 96b lid 3 Geneesmiddelenwet, waarin de volgende fraaie tekst is te lezen:

3. In het register wordt iedere transactie opgenomen tussen de houder van een handelsvergunning of parallelhandelsvergunning of de fabrikant en een beroepsbeoefenaar of patiënten- consumentenorganisatie, die al dan niet plaatsvindt door tussenkomst van een of meerdere natuurlijke personen of rechtspersonen en die bestaat uit geld of op geld waardeerbare diensten of goederen, inclusief het niet in rekening brengen van kosten, met een waarde van € 50,- of meer, ontvangen door of niet in rekening gebracht bij:
a. een beroepsbeoefenaar;
b. een natuurlijke persoon of rechtspersoon gelieerd aan een beroepsbeoefenaar, vanwege een prestatie van die beroepsbeoefenaar; of
c. een patiënten-consumentenorganisatie.

Gelijksoortige teksten worden voorgesteld voor de Wet op de medische hulpmiddelen en de Wet medische hulpmiddelen (zie artikelen II en III, zijn dat inderdaad twee verschillende wetten?).

Geweldig is dat een ‘transactie‘ wordt omschreven als “geld of op geld waardeerbare diensten of goederen, inclusief het niet in rekening brengen van kosten“.

Wat zou de regeldruk-waakhond ATR hier van vinden?

 

Meer informatie:

Geplaatst in Bestuursrecht, Grondrechten, rechtsstaat e.d. | Tags: , , , , | Een reactie plaatsen

Hoe gezond is het internet?

Of IT gezond is voor mensen, is een grote vraag, waarop ik een negatief antwoord verwacht. Of het internet gezond is, wordt door Mozilla onderzocht, in het “Internet Health Report“. Onlangs werd de editie 2019 uitgebracht. De rapporteurs stellen de volgende vragen:

  • Is het veilig?
  • Hoe open is het?
  • Wie is welkom?
  • Wie kan slagen?
  • Wie heeft zeggenschap?

Het wordt uitgewerkt in een groot aantal losse artikelen, die een gemengd beeld geven.

 

Meer informatie:

 

Geplaatst in ICT, privacy, e-commerce | Tags: | Een reactie plaatsen