Europese consultatie over oneerlijke digitale handelspraktijken gesloten | Digital Fairness Act (DFA)

Geplaatst op 30 oktober 2025 door Ellen Timmer

Op 24 oktober jl. sloot een Europese consultatie die aanverwant is aan de consultatie waar ik gisteren over schreef. De Europese Commissie is bezig met nieuwe regelgeving die de titel ‘Digital Fairness Act‘ (DFA) heeft gekregen en in het Nederlands ‘Rechtshandeling inzake digitale rechtvaardigheid‘ wordt genoemd. Het doel van de regelgeving is om problematische praktijken aan te pakken, waarbij de Commissie noemt:

  • oneerlijke handelspraktijken in verband met duistere patronen
  • misleidende marketing door influencers
  • verslavend ontwerp van digitale producten
  • oneerlijke personaliseringspraktijken.

Opvallend is dat de DFA zich alleen richt op consumenten, terwijl naar mijn idee kleine organisaties (midden- en kleinbedrijf en kleine en middelgrote nonprofit organisaties) een gelijksoortige bescherming verdienen tegenover de machtige partijen in het digitale domein.

4325 commentaren
Er zijn 4325 commentaren binnen gekomen, waarvan volgens de statistiekpagina 83,4% afkomstig is van EU-burgers (3606 reacties). Er hebben veel bedrijven en hun vertegenwoordigers mee gedaan (119 brancheverenigingen, 65 bedrijven). Als het goed is zijn de belangen van de burger behartigd door de 36 nonprofitorganisaties en de 11 consumentenorganisaties die mee deden, en hebben ook de overheidsinstanties (21) en de onderzoeksinstellingen (20) aandacht gehad voor de positie van de burger.
Uit Nederland kwamen 312 reacties, waarmee ons land op de tweede plaats staat na Duitsland (619 reacties).

Helaas kent deze site een zwakke zoekfunctie, zodat niet op categorieën (zoals consumentenorganisatie of nonprofit) kan worden gezocht. Hier heeft de Commissie nog wel iets te doen.

Onder meer kwam ik deze nonprofitorganisaties tegen:

  • Amnesty UK, die in de introductie onder meer schrijft: “Amnesty Internationals research shows that many Big Tech companies rely on and profit from a fundamentally abusive business model. Far from their claims of being a digital town square or a place for discovery and connection, online platforms have evolved over time to become ever more manipulative and extractive rather than empowering, informative and educational. Dark patterns or deceptive design are built into platforms in ways that render consent meaningless, as well as obscuring from users what they are signing up for and how their data will be used. Platforms make addictive and exploitative design choices as opposed to safety-by-design choices in order to maximize the time spent on their platforms, to drive engagement with user content and most critically for the advancement of their business advertisements.
  • Panoptykon, die in de introductie aandringt op een zwarte lijst van verboden praktijken: “Prohibiting unfair digital commercial practices and creating a black list of such unfair practices, including: (a) the use of attention-exploiting algorithms in default versions of recommender systems; and (b) practices seeking to lock-in users (e.g. allowing an easy import of data but not making it possible to export that data).

Uit Nederland kwamen onder meer reacties van:

Geplaatst in Europa, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , | Plaats een reactie

Europese douane-database

Geplaatst op 29 oktober 2025 door Ellen Timmer

In de EU groeit het aantal databases op niveau van de unie. Één daarvan is de ‘EU-Douanedatahub’ die wordt besproken in een verslag van 9 oktober jl. [*].

Over die database worden diverse vragen gesteld, onder meer:

De leden van de VVD-fractie lezen op het punt van de EU-Douanedatahub dat de vertrouwelijkheid van gegevens gewaarborgd zijn, en moet duidelijk zijn wie toegang heeft tot welke gegevens en voor welk doel. Is het kabinet bereid te pleiten voor onafhankelijk onderzoek naar de integriteit, kwaliteit en gegevensveiligheid van de EU-Douanedatahub, vergelijkbaar met de toetsing door het Adviescollege ICT-toetsing?
Deze leden lezen ook dat in de algemene raadsinzet er ten opzichte van de voorstellen van de Europese Commissie diverse aanvullende waarborgen voor een goede omgang met gegeven zijn opgenomen. Hoe wordt geborgd dat in zowel de ontwerpfase als na ingebruikname onafhankelijke validatie plaatsvindt?

De verantwoordelijke staatssecretaris antwoordt op de vragen onder andere:

De toegang tot bedrijfs- of persoonsgegevens wordt vastgelegd in de Verordening. De inzet van de Raad is dat toegang tot deze gegevens uitsluitend wordt verleend indien dit noodzakelijk is. Nederland blijft zelf verantwoordelijk voor het nationale risicobeheer. Daarnaast houdt het EU-Douaneagentschap zich bezig met het Europese risicobeheer. Op basis daarvan kan het EU-Douaneagentschap de Nederlandse Douane adviseren over handhavingsmaatregelen. De uiteindelijke beslissingsbevoegdheid over controles blijft bij Nederland. (…)

Tijdens de onderhandelingen is nog geen standpunt ingenomen over welke specifieke gegevens Trust & Check Traders (T&CT) moeten aanleveren. Deze uitwerking zal plaatsvinden in de lagere regelgeving. Daarbij geldt dat de lagere regelgeving in overeenstemming moet zijn met het Unierecht inzake gegevensbescherming, waaronder het beginsel van dataminimalisatie. Het kabinet zal zich in de onderhandelingen over deze nadere regelgeving inzetten voor het uitgangspunt dat niet meer gegevens worden verzameld dan strikt noodzakelijk.
T&CT’s zijn niet verplicht om directe toegang te geven tot hun interne bedrijfsservers. Wel komt er een verplichting om real-time toegang te verschaffen tot relevante gegevens. Hoe deze toegang precies wordt vormgegeven, is nog niet vastgesteld en zal worden uitgewerkt in de technische specificaties van de EUDouanedatahub. (…)

In de algemene raadsinzet zijn er ten opzichte van de voorstellen van de Europese Commissie diverse aanvullende waarborgen voor een goede omgang met gegevens opgenomen. Zo is de toegang tot gegevens uit de EU-Douanedatahub verder beperkt en is er een aanvullende bepaling opgenomen over het beroepsgeheim bij vertrouwelijk verkregen informatie. Mede in het licht van de huidige geopolitieke ontwikkelingen is bovendien een uitgebreide bepaling toegevoegd met betrekking tot de eisen aan digitale soevereiniteit bij de ontwikkeling en het beheer van de EU-Douanedatahub. Tot slot is vastgelegd dat het bedrijfsleven wordt betrokken bij het testen van de EU-Douanedatahub. Het kabinet heeft er vertrouwen in dat met deze bepalingen een efficiënte en veilige EU-Douanedatahub tot stand kan worden gebracht, waarmee de inzet van data binnen het douaneproces verder wordt versterkt.

Deze database zal interessante informatie gaan bevatten over alle douanetransacties, ook over de bestellingen die individuele burgers doen.

 

Noot:

[*] Verslag van een schriftelijk overleg, K. 31934, nr. 4185, over “Nieuwe Commissievoorstellen en initiatieven van de lidstaten van de Europese Unie“, vindplaats: site Tweede Kamer.

 

Lees de artikelen op deze site over de Europese databases.

Geplaatst in Belastingrecht, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , | Plaats een reactie

Waarheen met identificatie? | Privacy First

Geplaatst op 28 oktober 2025 door Ellen Timmer

Identificatie is een activiteit die voor mensen steeds gevaarlijker wordt als gevolg van de digitalisering, waar bij komt dat steeds meer organisaties geen fysiek kantoor meer hebben waar mensen terecht kunnen, zodat de identificatie via digitale weg moet plaats vinden.

Privacy First is al langere tijd met identificatie bezig (bijvoorbeeld met de vingerafdrukken in het identiteitsbewijs). Recente activiteiten waren:

* Het verzoek aan DNB en de minister van Financiën van september 2024 om de identificatiepraktijken bij financiële instellingen te verbeteren, artikel, verzoek (pdf).

Het werd gemeld door onder andere security.nl, R&C en IB-P.

* Deelname in juni dit jaar aan de consultatie van de Europese Banken Autoriteit (EBA) over de nieuwe Europese antiwitwasregels. Privacy First schreef over identificatie door witwasbestrijdingsplichtigen, lees het artikel over EBA consultatie en de consultatiereactie (pdf); zie voorts het artikel Digitale identiteit wordt sluipenderwijs toch verplicht.

Er is over geschreven door onder meer iBestuur en security.nl.

* Deze maand deed Privacy First mee aan een consultatie van de Commissie over vereenvoudiging van de Europese digitale regels, waarin ook aan identificatie met het Europese inlogmiddel, de EUDI-wallet of EDI-wallet aan de orde werd gesteld, lees het Privacy First artikel en de consultatiereactie (pdf).

De consultatiedeelname is gemeld door security.nl in het artikel Privacy First waarschuwt Brussel voor overidentificatie met Europese digitale ID.
Olsthoorn noemde het in zijn privacy journaal.
Verder vermelding in onder andere privacynieuws, AboutICT, Data & PrivacyWeb.

Geplaatst in Bankrekening krijgen en behouden, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , | Plaats een reactie

Belangenbehartiger Belastingplichtigen en Toeslaggerechtigden komt op voor alle Nederlanders – ook voor de slachtoffers van FATCA?

Geplaatst op 28 oktober 2025 door Ellen Timmer

De Nederlandse belastingdienst heeft sinds kort een ‘Belangenbehartiger Belastingplichtigen en Toeslaggerechtigden’, die zichzelf op linkedin heeft aangekondigd met een bericht dat als volgt begint:

We zijn er klaar voor!
De afgelopen maanden hebben we hard gewerkt aan de inrichting van onze onafhankelijke organisatie. Advocaten, sociaal raadslieden, medewerkers van de Hoge Raad en fiscalisten, casusbehandelaren die het verschil willen maken!
We vinden dat iedere inwoner recht heeft op een “rechtwaardige” dus rechtvaardige én menswaardige behandeling door de overheid. Soms gaat het menselijke verhaal verloren in de massale processen van de overheid. Mensen vallen dan onnodig tussen wal en schip en komen in (financiële) problemen. Dat willen we als Belangenbehartiger veranderen dus we luisteren, doen onderzoek en komen met “rechtwaardige” oplossingen.

De Nederlandse Accidental American groep heeft de Belangenbehartiger inmiddels aangeschreven, met de vraag of er iets kan worden gedaan voor de slachtoffers van FATCA.

Geplaatst in Bankrekening krijgen en behouden, Belastingrecht, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , | Plaats een reactie

Report: despite major enterprise investment into GenAI, the surprising result is that 95% of organizations are getting zero return

Geplaatst op 27 oktober 2025 door Ellen Timmer

The summary of the report (pdf)The GenAI Divide. State of AI in business 2025‘ starts with:

Despite $30–40 billion in enterprise investment into GenAI, this report uncovers a surprising result in that 95% of organizations are getting zero return.

Golem mentioned the report in the article KI-Müll kostet Unternehmen Millionen, starting with the problem that artificial intelligence in the workplace produces large quantities of rubbish.

Geplaatst in English - posts in English on this blog, ICT, privacy, e-commerce | Tags: , | 1 reactie

Verkiezingen!

Geplaatst op 27 oktober 2025 door Ellen Timmer

Woensdag zijn er verkiezingen, raadpleeg NerdVote.nl en zorg dat er digitaal deskundige mensen in de Tweede Kamer komen (ik schreef er al over).
Bert Hubert vroeg er aandacht voor in zijn artikel Cloud Kootwijk: Alles hangt af van de verkiezingen.

Kijk naar het gedrag
Mijn tip is om niet naar de verkiezingsprogramma’s te kijken, maar om te kijken naar het (stem)gedrag van de politieke partijen.
Een dieptepunt van de afgelopen tijd was de antifa-motie (artikel), stem niet op de partijen die vóór die domme motie hebben gestemd.

Geplaatst in ICT, privacy, e-commerce | Tags: , , , , | Plaats een reactie

Statewatch: EU prepares to give US direct access to police and immigration databases

Geplaatst op 26 oktober 2025 door Ellen Timmer

Statewatch published an article on European plans to give power to American agencies to search European databases, to identify people posing “a threat to US security”. Statewatch refers to a proposal by the Commission.

There is already massive data-sharing taking place, Statewatch reports:

Massive expansion in data-sharing
Under the VWP, countries whose citizens can travel to the US without a visa already have to let US agencies search their police databases, to see whether travellers have been involved in terrorism or serious crime.
The new plan would massively expand this kind of data-sharing.
The Commission’s proposal for an agreement with the US would allow searches for “security screenings and identity verifications relating to border procedures and applications for visa.”
The agreement should also cover the “prevention, detection, investigation and prosecution of crimes and terrorist offences,” says the proposal.
This suggests a massive broadening of the scope from what is currently in VWP agreements, which relate to serious crime – not simply “crime” in general.

 

More on this site on this topic in the articles on European databases.

Geplaatst in English - posts in English on this blog, Europa, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce, Strafrecht | Tags: , , , , , | Plaats een reactie

AVG-boete voor datahandelaar Experian

Geplaatst op 25 oktober 2025 door Ellen Timmer

Datahandelaren [*] vormen een groot risico voor iedere Nederlander, omdat zij een ongereguleerde sector zijn, die op grote schaal persoonsgegevens en andere vertrouwelijke gegevens verzamelen en verkopen aan de hoogste bieder, zonder de ontvangende partij te screenen en zonder dat je als betrokkene wordt geïnformeerd. Het kan tot gevolg hebben dat jouw gegevens bij criminelen of andere ongure partijen terecht komen, die er misbruik van kunnen maken.
Helaas zijn er nog geen tekenen dat de handelaren in het ‘nieuwe goud’ vergunningplichtig worden en op integriteit zullen worden getoetst.

Boete Experian
Wel is de Autoriteit Persoonsgegevens (AP) met deze bedrijven bezig, zou blijkt uit het bericht Experian krijgt boete van 2,7 miljoen euro voor privacyovertredingen. Daarin meldt de AP:

De Autoriteit Persoonsgegevens (AP) legt Experian Nederland (Experian) een boete op van 2,7 miljoen euro. Experian leverde tot 1 januari 2025 kredietbeoordelingen over mensen aan haar klanten. Daarvoor verzamelde het bedrijf gegevens over bijvoorbeeld negatief betaalgedrag, openstaande schulden of faillissementen. De AP heeft geconstateerd dat Experian de regels heeft overtreden door persoonsgegevens onterecht te gebruiken. Het bedrijf ging ook de fout in door mensen hierover onvoldoende te informeren. Het bedrijf liet mensen namelijk niet altijd weten die informatie over hen te gebruiken.

Kredietscore
Experian maakte op verzoek van klanten zoals telecombedrijven, webwinkels of verhuurders kredietwaardigheidsrapporten over mensen. Het ging om mensen die bij deze organisaties een aankoop achteraf wilden betalen of een contract wilden aangaan voor bijvoorbeeld een telefoonabonnement. Deze rapporten bevatten kredietscores over mensen. Zo’n score geeft aan in hoeverre iemand de rekeningen kan betalen en of er een risico op wanbetaling is. De klanten van Experian gebruiken de kredietscore om te beslissen of en hoe mensen een product mogen kopen.
Een kredietscore kan gevolgen hebben voor de mensen om wie het gaat. Bij hogere kredietscores konden mensen bij de klanten van Experian bijvoorbeeld betere voorwaarden krijgen, zoals een gunstiger rentepercentage. Bij lagere scores kon een gevolg zijn dat mensen als klant werden geweigerd of een hogere borgsom moesten betalen.

Klachten over Experian
De AP startte het onderzoek na klachten over Experian. Aleid Wolfsen, voorzitter AP: ‘Mensen meldden zich bij de AP nadat ze niet langer iets op afbetaling konden kopen. Of omdat zij opeens een hoge borgsom moesten betalen bij een overstap naar een nieuwe energieleverancier. Pas achteraf bleek dat dit kon komen door kredietscores van Experian. Doordat mensen niet op de hoogte waren van de kredietcheck konden ze ook niet op tijd checken of de gebruikte informatie wel klopte. Ik kan me voorstellen dat dat enorm vervelend is om mee te maken.’

Datahandel
Experian verzamelde gegevens over mensen uit verschillende bronnen, zowel openbare als niet-openbare. Denk aan het Handelsregister van de Kamer van Koophandel, maar ook aan telecom- en energiebedrijven die gegevens van hun klanten verkopen. Zo bouwde Experian een database op met informatie van heel veel mensen in Nederland.

Onnodig gegevens verzamelen
Experian verzamelde veel gegevens over mensen. Maar het bedrijf kon onvoldoende duidelijk maken waarom het verzamelen van bepaalde gegevens nodig was. Daarnaast kon het gebruiken van gevoelige gegevens grote gevolgen hebben voor de mensen om wie het gaat. Experian had dat niet goed afgewogen en had onterecht deze gegevens gebruikt.

Hoe nu verder?
Experian erkent de wet te hebben overtreden en gaat niet in beroep tegen de boete. Het bedrijf is gestopt met de werkzaamheden in Nederland en gaat nog dit jaar de database met al deze persoonsgegevens verwijderen.

 

En de andere overtreders?
Experian is niet de enige datahandelaar met dit soort malafide praktijken. We gaan zien of die anderen ook door de AP worden aangepakt.

Ook is interessant of de bedrijven die hun klantgegevens aan datahandelaren verkopen (zoals de telecom- en energiebedrijven die in het bericht van de AP genoemd worden) door de AP beboet zullen worden.

Achtergrond
In 2024 kwamen datahandelaren in het nieuws, onder meer door het artikel van RTL, Hoe datahandelaren adressen van jou én van bedreigde personen te koop aanbieden. Zie ook de berichten met de tag datahandelaren en Experian.

 

 

[*] De datahandel is een gevarieerde sector met onder meer advertentiebedrijven (Meta, Google), maar ook kredietbeoordelingsbedrijven (Experian) en leveranciers van antiwitwasinformatie.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , | Plaats een reactie

DPA’s signed the “Joint Statement on Trustworthy Data Governance for AI”

Geplaatst op 24 oktober 2025 door Ellen Timmer

Data protection authorities (DPA’s) signed a joint statement on AI (pdf). The statement was signed by DPA’s from the EU and other parts of the world, like the UK, Canada, Australia, New Zealand, Korea and Hong Kong.

The Belgian DPA announced the statement in the article De GBA zet zich in voor innovatieve en privacybeschermende AI.

Geplaatst in English - posts in English on this blog, Europa, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , | Plaats een reactie

The Spanish Data Protection Authority fined a data broker that illegally processed data related to self-employed people

Geplaatst op 23 oktober 2025 door Ellen Timmer

The Agencia Española de Protección de Datos (AEPD), the Spanish Data Protection Authority fined a data broker for processing without a legal basis and without informing the data subjects (self-employed people) of the processing (decision in Spanish).

More information in the article on GDPR Hub.

Geplaatst in English - posts in English on this blog, Grondrechten, ICT, privacy, e-commerce | Tags: , , , | Plaats een reactie