Report on the place of the European Convention on Human Rights in the European and international legal order

Recently the Report on the place of the European Convention on Human Rights in the European and international legal order on Human Rights  was made public. It was adopted by the Steering Committee for Human Rights (CDDH) of the Council of Europe in its meeting of 26-29 November 2019.

 

 

More information:

Geplaatst in English - posts in English on this blog, Europa, Grondrechten, rechtsstaat e.d. | Tags: | Een reactie plaatsen

eu-LISA: “Gemakkelijke en snelle toegang voor autoriteiten en moeilijke en langzame toegang voor personen wier persoonsgegevens zijn geregistreerd lijken de regel”

Europa kent een database met persoonsgegevens, die bekend staat onder de naam eu-LISA. In die database zitten nu alleen persoonsgegevens van immigranten en criminelen, maar het zou me niets verbazen als in de toekomst alle EU-burgers er in zullen worden opgenomen.

De Commissie Meijers [*] bespreekt eu-LISA in een recente brief aan de Vaste Commissie voor Veiligheid en Justitie onder het kopje ‘interoperabiliteit’. Uit de brief blijkt dat op de uitwisseling van persoonsgegevens, de interoperabiliteit, een wirwar van regels van toepassing is. De Commissie dringt bij de regering aan op oplossingen en signaleert dat een gemakkelijke en snelle toegang voor autoriteiten en moeilijke en langzame toegang voor personen wier persoonsgegevens zijn geregistreerd de regel lijken te zijn.

Databescherming lijkt het kind van de rekening, nu ook EDPS, FRA en gegevensbeschermingsautoriteiten kritiek hebben geuit. De Commissie Meijers vraagt zich af hoe een effectief toezicht gegarandeerd zal worden op de naleving van de regels ter bescherming van de doelbinding, maar ook op de veiligheid en correctheid van de gegevens in de verschillende bestanden.

De Commissie schreef:

Implementatie van Interoperabiliteit

Nederland wil bij de implementatie van de twee verordeningen inzake interoperabiliteit van centrale EU-informatiesystemen coördinatie op EU-niveau. Dit zou volgens de ministers van belang zijn, gezien de onderlinge afhankelijkheden tussen alle verordeningen op het gebied van grenzen en veiligheid en de impact die de zo goed als gelijktijdige implementatie hiervan heeft op lidstaten en EU-agentschappen.

Bijna alle autoriteiten, toezichtorganen en wetenschappers die zich in dit onderwerp hebben verdiept, zijn het er over eens dat de wirwar van regels, niet alleen op basis van de beide interoperabiliteitsverordeningen, maar ook de regels bij de betreffende (zes) grootschalige databestanden, en de (op zichzelf al ingewikkelde) regels van het GDPR en LED van 2018, de uitvoering en de controle daarop complex dan wel onmogelijk maken: het is onduidelijk wanneer, in welke gevallen, welke regels van toepassing zijn. Welke oplossingen wil de regering daarvoor aandragen?

Gemakkelijke en snelle toegang voor autoriteiten en moeilijke en langzame toegang voor personen wier persoonsgegevens zijn geregistreerd lijken de regel. Zowel de EDPS en FRA, maar ook nationale toezichtorganen en de autoriteiten gegevensbescherming hebben er al op gewezen dat praktisch toezicht moeilijk is wegens gebrek aan tijd/mankracht maar ook de onduidelijkheid over bestaande regels en verantwoordelijkheden. Dat blijkt ook omdat er geen geld wordt gereserveerd voor de nationale toezichthoudende instanties die al overbelast en onderbezet zijn en veel nieuwe taken krijgen in de twee nieuwe verordeningen.

De Commissie Meijers vraagt zich af hoe een effectief toezicht gegarandeerd zal worden op de naleving van de regels ter bescherming van de doelbinding, maar ook op de veiligheid en correctheid van de gegevens in de verschillende bestanden.

 

[*] De Commissie Meijers is een groep hoogleraren, rechters, advocaten en wetenschappelijk medewerkers in Europa die systematisch Europese voorstellen op het gebied van strafrecht, migratie, privacy en discriminatie toetst aan de eisen van de democratische rechtsstaat.

Meer informatie:

Geplaatst in Europa, Grondrechten, rechtsstaat e.d., ICT, privacy, e-commerce, Strafrecht | Tags: , , , | 1 reactie

Plannen om de robuuste versleuteling op internet te ondermijnen zijn onveilig en gevaarlijk, aldus Arnbak

Al eerder [*] waarschuwde Axel Arnbak voor de gevaren verbonden aan verzwakking van de beveiliging van digitale omgevingen.
In het FD van vandaag waarschuwt hij opnieuw in Plannen om de robuuste versleuteling op internet te ondermijnen zijn onveilig en gevaarlijk. Hij schrijft onder meer:

Het gaat echt ergens over, want internet is net als geld: zodra de samenleving het vertrouwen verliest, kun je alle internetapparaten net als ongeloofwaardig papiergeld in de prullenbak gooien.

 

[*] Veiligheidsdiensten willen onveilige 5G-standaard. Voor onze veiligheid, 27 juni 2019.

Alle berichten over encryptie op dit blog.

Geplaatst in ICT, privacy, e-commerce | Tags: , , | Een reactie plaatsen

Met Google inloggen bij de reclassering? | Rathenau Instituut

Twee auteurs van het Rathenau Instituut, Pieter van Boheemen en Linda Kool, spreken in een artikel hun zorg uit over het voorstel voor de Wet digitale overheid, dat het mogelijk maakt dat burgers via private ondernemingen inloggen bij de overheid. Ook advertentiebedrijven zoals Google en Facebook kunnen dergelijke diensten aanbieden. De auteurs waarschuwen voor het risico dat burgers via die weg vertrouwelijke gegevens verschaffen aan advertentiebedrijven, als gevolg waarvan de privacy nog meer wordt verminderd. Zij schrijven onder meer:

Vanuit efficiëntie en gemak een mooie gedachte, maar het wetsvoorstel lijkt andere publieke waarden onvoldoende in ogenschouw te nemen. Burgers gebruiken digitale identificatiemiddelen immers voor zeer privacygevoelige doeleinden. Denk maar aan het inloggen bij dienstaanbieders in de jeugdzorg, reclassering of andere organisaties in het sociale domein. Dat eID-aanbieders daarbij vastleggen wie met welke dienst zakendoet, bijvoorbeeld om fraude te bestrijden, is begrijpelijk. Maar zo’n inlogregister kan voor private eID-aanbieders ook om andere redenen interessant zijn. Door het register met andere persoonlijke informatie te combineren, kan een profiel worden opgebouwd. Een profiel dat vervolgens kan worden gebruikt voor advertenties, het aanbieden van op jouw voorkeur afgestemde producten en andere belangen.

Zij constateren dat in het wetsvoorstel dat deze maand in de Tweede Kamer wordt behandeld, de waarborgen ontbreken om te voorkomen dat de vertrouwelijke gegevens in verkeerde handen komen respectievelijk voor verkeerde doelen worden gebruikt. Zij concluderen:

Om de privacy van burgers onder alle omstandigheden te waarborgen is aanscherping van het wetsvoorstel dus noodzakelijk. Want makkelijker kunnen we het zeker maken; nu nog privacyvriendelijker.

 

Meer informatie:

Geplaatst in Bestuursrecht, Grondrechten, rechtsstaat e.d., ICT, privacy, e-commerce | Tags: , , , , , , , , , , , | Een reactie plaatsen

Je persoonlijke stasi agent als beloning voor een gezonder leven?

Jaap-Henk Hoepman schreef onder deze pittige titel een artikel over de nieuwe terreur van de gezondheidsapps:

Je persoonlijke stasi agent als beloning voor een gezonder leven?

 

Alle berichten op dit blog over ongezonde IT en dumbing down.


Aanvulling 9 januari 2020
In NRC verscheen Geef mensen zonder stappenteller geen straf door Malou van Hintum.

Geplaatst in Grondrechten, rechtsstaat e.d., ICT, privacy, e-commerce | Tags: , , , | Een reactie plaatsen

Autoriteit Persoonsgegevens dringt aan op wettelijke waarborgen voor kredietregistratie

Kenmerkend voor de financiële sector (onder meer banken) is dat grootschalig persoonsgegevens worden verzameld en verwerkt en dat veel privaat geregeld is, op een weinig transparante wijze. Een voorbeeld daarvan is de kredietregistratie, die plaats vindt via het Bureau Kredietregistratie (BKR), een door financiële instellingen gefinancierde organisatie. Voorts zijn er een groot aantal gegevensverzamelaars die buiten alle regulering om kredietgegevens van burgers en ondernemers verzamelen.

Onlangs liet de Autoriteit Persoonsgegevens weten dat het ongewenst is dat regelgeving inzake kredietregistratie ontbreekt:

AP bepleit wettelijke waarborgen voor kredietregistratie
Nieuwsbericht/12 december 2019

De Autoriteit Persoonsgegevens (AP) heeft de minister van Financiën geadviseerd om nieuwe wetgeving in gang te zetten die ervoor zorgt dat bij kredietregistratie vastgelegde persoonsgegevens beter worden beschermd.

Kredietregistratie
Kredietaanbieders mogen niet zomaar een krediet verstrekken. Om overkreditering te voorkomen, moeten zij eerst voldoende informatie inwinnen over de kredietwaardigheid van de klant. Om aan deze zorgplicht invulling te geven, moeten ze onder meer aangesloten zijn bij een stelsel van kredietregistratie.

Geen wettelijke waarborgen
Ondanks dat de wet dus zorgplichten oplegt en deelname aan het stelsel van kredietregistratie verplicht is, zijn er geen wettelijke regels voor de verwerking van persoonsgegevens om die verplichtingen uit te voeren.
De wetgever heeft dus niet afgewogen en vastgelegd wie wat wanneer mag met welke persoonsgegevens, wie het stelsel beheert en hoe lang kredietgegevens nog mogen worden bewaard na afloop van een krediet.
In de praktijk is BKR de organisatie die in Nederland de kredietregistratie uitvoert en ook bepaalt hoe met de gegevens wordt omgegaan. BKR registreert van miljoenen mensen gevoelige persoonsgegevens (krediet, betalingsachterstanden).

Waarborgen vastleggen
De AP stelt dat het aan de wetgever is om waarborgen vast te leggen voor de bescherming van persoonsgegevens bij kredietregistratie. En daarbij het algemene belang van het voorkomen van overkreditering expliciet af te wegen tegen het grondrecht op bescherming van persoonsgegevens.
Ook kan wetgeving waarborgen dat gegevens niet verloren kunnen gaan of in handen kunnen komen van onbevoegden. Bijvoorbeeld bij een faillissement.
Verder kan gedacht worden aan bepalingen over de beheerder van het stelsel (zoals financiering, benoeming en wat te doen bij taakverwaarlozing). Het vormgeven van kredietregistratie als goed afgebakende – en van commerciële activiteiten te onderscheiden – wettelijke taak van een wettelijk aangewezen beheerder biedt daarbij onmiskenbaar een duidelijke grondslag om persoonsgegevens te mogen verwerken, aldus de AP.

Advies AP
De AP adviseert dan ook wetgeving tot stand te brengen:
• waarbij de inbreuk op het grondrecht van degene die krediet heeft of wil expliciet wordt afgewogen tegen het algemene belang om overkreditering te voorkomen;
• die het beheer van een stelsel van kredietregistratie als wettelijke taak aan een bepaalde beheerder opdraagt;
• die zorgt voor duidelijke waarborgen voor de betrokkenen en voor een goede taakuitvoering.

Het advies kan hier (pdf) gedownload worden.

Het is een goede zaak dat ook in de financiële sector meer aandacht komt voor een zorgvuldige omgang met persoonsgegevens.

Zwarte lijsten financiële instellingen
Ook op het gebied van de zwarte lijsten waarop financiële instellingen mensen en organisatie plaatsen, is regelgeving zeer gewenst, lees onder meer:

Geplaatst in Financieel recht, onder meer Wft, Wtt, Grondrechten, rechtsstaat e.d., ICT, privacy, e-commerce | Tags: , , , , , , , | Een reactie plaatsen

Oppassende Europese burgers achtervolgd door Amerikaanse overheid

Zegt de bank uw bankrekening op en weigeren banken financiële diensten, terwijl u een oppassende Europese burger bent die netjes belastingaangifte doet en betaalt? Dan bent u misschien een ‘Accidental American’, een ‘toevallige Amerikaan’, slachtoffer van het afwijkende systeem van nationaliteit en van de ruime definitie van belastingplichtige (‘US Person’) die de Verenigde Staten hanteert.

Opmerkelijk is dat de nationale Europese overheden toelaten dat hun burgers worden benadeeld door de Verenigde Staten, ondanks ondertekening van mensenrechtenverdragen en ondanks de toepasselijkheid van de Algemene Verordening Gegevensbescherming (AVG). In het Europees Parlement is wel aandacht voor de discriminerende praktijken van de Amerikanen.

 

 

 

 

De problemen van de toevallige Amerikanen komen aan de orde in de uitzending van Reporter Radio (NPO 1) van 5 januari jl.:

Europa in de bres voor ‘toevallige Amerikanen’
zondag 5 januari 2020, 19:04 uur

Banken zitten nog altijd achter Nederlanders aan die toevallig ook de Amerikaanse nationaliteit hebben omdat ze in de VS geboren zijn. Een van hen diende een klacht in tegen zijn bank. Die klacht werd onlangs behandeld bij een geschillencommissie. We doen verslag. Ook een gesprek met Europarlementariër Sophie in ’t Veld (D66).

Lees ook het artikel op de site van de NOS, Banken bevriezen rekeningen van Nederlandse toeval-Amerikanen. In dat artikel is één van die toeval-Amerikanen aan het woord:

Ronald Ariës is een van de toeval-Amerikanen en heeft een procedure aangespannen tegen zijn bank. “Ik kan niet tegen onrecht en dat is precies wat dit is. Ik heb daar niet gewoond, geen studie gevolgd, niet gewerkt, ik heb altijd in Nederland belasting betaald.” Hij vindt dat het Nederlandse ministerie van Financiën tegen de Amerikanen moet zeggen dat zij hem met rust moeten laten.

 

Meer over FATCA en de Accidental Americans
Op dit blog besteed ik al langer aandacht aan FATCA en de schending door de Verenigde Staten van financiële mensenrechten. Recent schreef ik:

Meer informatie op de algemene pagina over FATCA en de Accidental Americans op dit blog. Alle artikelen over FATCA zijn te vinden via deze tag.

Lees ook over financiële mensenrechten op dit blog, rechten die bedreigd worden door de nieuwe digitale mogelijkheden van overheden, die mogelijkheden bieden die er voorheen niet waren, waarvan FATCA een voorbeeld is.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, rechtsstaat e.d. | Tags: , , , | Een reactie plaatsen

Financiële internetconsultaties

Mensen met belangstelling voor het financiële recht kunnen het deze maand druk hebben met internetconsultaties:

Ook in februari is het druk:

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft | Tags: , , , , , , | Een reactie plaatsen

Misbruik domeinnaam-privacy door ondernemingen

Onlangs was ik op zoek naar het adtech bedrijf achter een internetdomein. Bij de zoektocht ontdekt ik iets bijzonders: ondernemingen kunnen via ‘privacy’ services verbergen dat zij achter internetdomeinen schuil gaan. Daar zijn privacy faciliteiten natuurlijk helemaal niet voor bedoeld. Privacy is bedoeld voor natuurlijke personen.

Diverse domeinnaam registrars melden dat zij domeinnaam-privacy, aangeduid als ‘domain privacy’ of ‘whois privacy’ aanbieden. Uit de informatie die ik tegen kwam, blijkt dat geen onderscheid wordt gemaakt tussen natuurlijke personen en entiteiten. Ook adtech bedrijven maken gebruik van deze mogelijkheid, zo lees ik in een artikel over sniper-targeting. Dat de uiteindelijk belanghebbenden achter de ondernemer-rechtspersoon niet zichtbaar zijn, vind ik niet zo spannend. Maar dat de ondernemer-rechtspersoon van wie de site is, wordt verhuld, is onjuist.

Daniel van DailyBlogTips schrijft in november 2019 dat spammers en scammers zich achter domeinnaam-privacy verbergen. Datzelfde geldt ongetwijfeld voor criminelen. Hij zegt dat een geloofwaardige onderneming niet van een dergelijke service gebruik hoort te maken.

Het is hoog tijd dat domeinnaam-privacy alleen nog mogelijk is voor natuurlijke personen en geen verhullingsmogelijkheden voor rechtspersonen en andere entiteiten biedt.

NB Uiteraard zal ontwijkingsgedrag (een onderneming registreert een domein op naam van een natuurlijke persoon om gebruik te kunnen maken van domeinnaam-privacy) moeten worden aangepakt.

 

Meer informatie:

  • Wikipedia over domain privacy.
  • Daniel, DailyBlogTips: Time to Stop Using Whois Privacy?, november 2019.
  • Artikel (pdf) over sniper-targeting door Marc Faddoul, Rohan Kapuria en Lily Lin, “Sniper Ad Targeting”, 10 mei 2019. Op pagina 15 staat: “Nonetheless, the company intentionally conceals all information about the company. The servers are registered with the WHOIS Privacy Service, an option used to keep the registrant identity private“.
Geplaatst in ICT, privacy, e-commerce | Tags: , | Een reactie plaatsen

Surveillance door de banken | de ‘Transactie Monitoring Utility’

De privatisering van de misdaadbestrijding naar bedrijven is een van de belangrijkste ontwikkelingen van de afgelopen twintig jaar. De meest prominente sector die deze rol toebedeeld heeft gekregen, is de bankensector, die alle transacties die via banken plaats vinden moet monitoren op mogelijke criminele transacties (witwassen). Deze sector heeft daarin volgens de overheid jammerlijk gefaald en wordt daarom zelf van witwassen beschuldigd [1]. De Nederlandse banken hebben als oplossing bedacht dat zij de grote hoeveelheden financiële transacties die zij verrichten laten monitoren door een gezamenlijke rechtspersoon, die verantwoordelijk is voor een IT-systeem dat als ‘Transactie Monitoring Utility’ of ‘TM Utility’ wordt aangeduid. Daarnaast willen banken ook het cliëntenonderzoek (Know Your Customer, ‘KYC’) centraliseren.

In het Tijdschrift voor Bijzonder Strafrecht & Handhaving verscheen over de TM Utility een artikel geschreven door M. Nelemans en G.M. Verhage, met als titel ‘De Transactie Monitoring Utility: Private samenwerking in de strijd tegen witwassen’ [2]. De auteurs veronderstellen dat de centralisatie tot een kostenvoordeel voor de banken en verbetering van de kwaliteit van de transactiemonitoring zal kunnen leiden. Zij constateren terecht dat een beperking is dat de monitoring alleen door de Nederlandse banken plaats vindt en buitenlandse geldstromen buiten beeld blijven.

Waar het niet over gaat
De auteurs gaan niet in op de huidige praktijkproblemen rondom zowel de transactiemonitoring als het cliëntenonderzoek door banken. Die praktijk is dat door KYC-medewerkers soms ondeskundige vragen worden gesteld aan de klanten en dat soms met betrekking tot onschuldige transacties wordt gevraagd om allerlei bewijsstukken, met als gevolg irritatie en genereren van onnodige kosten bij die klanten. Daarin zal verbetering moeten komen, om te voorkomen dat de banken volledig van de maatschappij vervreemden.

Als zo’n centraal systeem tot stand komt, zal kwaliteitsbewaking op zeer hoog niveau moeten plaats vinden. Onder meer is nodig dat bugs en kwaliteitsproblemen in vroegtijdig stadium worden gesignaleerd en verholpen. Klanten moeten rechtstreeks kunnen klagen over de werking en de uitkomsten van het centrale systeem en correcties kunnen melden. Een volwassen geschillenbeslechtingssysteem bij de onafhankelijke gespecialiseerde rechter, maakt een en ander compleet. Dat is dan meteen een mooie gelegenheid om bij diezelfde instantie geschillen tussen banken en hun klanten over opzegging van de relatie en plaatsing op de zwarte lijst onder te brengen.

Aandachtspunt is verder dat banken nu al over diepgaande persoonlijke en zakelijke informatie over hun klanten beschikken. Gaat die informatie straks worden ingezet om te voorspellen welke personen en ondernemingen zich schuldig zullen gaan maken aan criminaliteit (predictive policing)? En zullen de banken de verleiding kunnen weerstaan om de informatie te gebruiken voor eigen commerciële doeleinden, zoals verkoop van advertenties en producten van derden?

De centrale transactiemonitoring en KYC zal in ieder geval een interessante digitale hotspot worden, die de aandacht van criminelen en grote ondernemingen zal trekken, zodat volwassen cybersecurity een vereiste is.

 

Noten

[1] Wat een makkelijke beschuldiging is omdat banken immers het witwasgeld van hun klanten onder zich hebben en iedereen die bewust of onbewust witwasgeld onder zich heeft is een witwasser.
[2] Het artikel wordt door het tijdschrift als open access ter beschikking gesteld: html, pdf.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, rechtsstaat e.d., ICT, privacy, e-commerce, Verwijzingsportaal Bankgegevens | Tags: , , , , , , , | Een reactie plaatsen