AIVD: Bescherm je kroonjuwelen nu al tegen de dreiging van quantumcomputers

Geplaatst op 4 oktober 2021 door Ellen Timmer

De AIVD maakte bekend dat quantumcomputers een grote dreiging voor de cybersecurity zullen vormen, in het bericht ‘Bescherm je kroonjuwelen nu al tegen de dreiging van quantumcomputers‘. Voor mij niet verrassend, wel voor de Minister van Veiligheid die zich eind november 2020 nog geen zorgen maakte, zie mijn artikel over vragen en antwoorden door het Ministerie van Veiligheid.

Ronald Prins maakte een podcast met Ingrid Romijn & Boris Škorić over de invloed van quantumcomputers op de samenleving.

Grote kans dat gewone burgers groot risico lopen. Het zal me benieuwen of de overheid in staat is om daar iets aan te doen.

 

Nieuwsbericht AIVD:

Bescherm je kroonjuwelen nu al tegen de dreiging van quantumcomputers

Nieuwsbericht | 23-09-2021 | 10:15

Werk je met gevoelige informatie? In een brochure die de AIVD vandaag heeft uitgebracht, lezen ICT-beveiligers welke maatregelen zij nu en in de toekomst kunnen nemen om hun organisatie te beschermen tegen de dreiging van quantumcomputers.

NBV houdt rekening met quantumcomputer die in 2030 huidige cryptografische standaarden kan breken
Al jaren wordt de komst voorspeld van de quantumcomputer die bepaalde cryptografie kan breken. Dit brengt risico’s met zich mee op het gebied van informatiebeveiliging. Het Nationaal Bureau voor Verbindingsbeveiliging (NBV) van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) volgt de ontwikkelingen op de voet en doet onderzoek om tijdig producten en oplossingen te kunnen bieden tegen deze beveiligingsrisico’s.

De algemene verwachting is dat een quantumcomputer binnen twintig jaar de huidige cryptografische standaarden kan breken. Experts achten de kans klein maar reëel dat quantumcomputers in 2030 al krachtig genoeg zullen zijn om de huidige cryptografische standaarden te breken. Voor gevoelige informatie vindt het NBV een klein risico voldoende reden om passende maatregelen te nemen.

Risico’s huidige cryptografie
Tot die tijd zijn er ook risico’s voor de huidige cryptografie. De data die je nu vercijferd verstuurt of opslaat, kan onderschept worden en op een later moment met een quantumcomputer ontcijferd worden. Gegevens die in 2030 nog steeds gevoelig zijn en geheim moeten blijven, moeten daarom nu al vercijferd worden met cryptografie die beschermt tegen aanvallen met een quantumcomputer.

Documenten
Bereid je voor op de dreiging van quantumcomputers
Werk je met gevoelige informatie? In deze publicatie delen we onze visie op de dreiging van quantumcomputers en lees je welke
Publicatie | 23-09-2021
Zie ook
Informatiebeveiliging

Geplaatst in Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce | Tags: , , , , , | 1 reactie

Duitsland verplicht verkopers van producten tot zekerheidsupdates

Geplaatst op 3 oktober 2021 door Ellen Timmer

Uit een bericht van het DIKH blijkt dat per 1 januari a.s. in Duitsland nieuw kooprecht in werking treedt, op grond waarvan verkopers onder meer verplicht zijn tot het laten verzorgen van zekerheidsupdates. Dat lijkt me iets wat ook voor Nederland nuttig is, niet alleen voor consumenten maar ook voor ondernemers en organisaties.

Uiteraard zijn de veranderingen ook relevant voor ondernemers die aan Duitse afnemers leveren.

Meer informatie:
Änderungen im Kaufrecht: Neue Pflichten für den Handel, DIHK.

Reactie Consumentenbond op twitter:

Geplaatst in Contractenrecht, privaatrecht algemeen, ICT, privacy, e-commerce | Tags: , | 3 reacties

Mkb kan late betalingen door grootbedrijf melden bij ACM | verlenging meldingstermijn

Geplaatst op 2 oktober 2021 door Ellen Timmer

Van algemene bekendheid is dat grote ondernemingen het midden- en kleinbedrijf afknijpen, onder meer door extreem laat te betalen. Eerder genomen maatregelen hadden geen effect.

Meldpunt
De rijksoverheid heeft een tijdelijke maatregel genomen, door mkb-ondernemingen op te roepen om anoniem niet-tijdige betaling te melden bij de Autoriteit Consument & Markt (ACM). De meldingen kunnen worden gedaan bij het Meldpunt achterstallige betalingen.

Op 16 september werd bekend gemaakt dat de termijn om te melden met vier maanden is verlengd.  Het nieuwsbericht van de rijksoverheid luidt als volgt:

Mkb kan late betalingen nog 4 maanden melden bij ACM
Nieuwsbericht | 16-09-2021 | 09:36

Ondernemers in het midden- en kleinbedrijf (mkb) kunnen nog vier maanden melding maken van te late betalingen. Dit kan volledig anoniem bij het tijdelijke Meldpunt Achterstallige Betalingen, dat de Autoriteit Consument en Markt (ACM) in januari 2021 heeft opgezet op verzoek van staatssecretaris Mona Keijzer van Economische Zaken en Klimaat. In januari 2022 moet onder andere uit de resultaten van het Meldpunt blijken of het nuttig en nodig is om een permanente toezichthouder in te stellen die in de gaten houdt of grote bedrijven het mkb op tijd betalen.

Grote bedrijven kunnen nu nog een maximale betaaltermijn van 60 dagen afspreken om hun mkb-leveranciers te betalen. Die termijn moet verkort worden naar 30 dagen. Dit staat in het wetsvoorstel dat staatssecretaris Mona Keijzer (Economische Zaken en Klimaat), mede namens minister Sander Dekker (Rechtsbescherming), in maart 2021 naar de Tweede Kamer heeft gestuurd.

Grote bedrijven betalen mkb-leveranciers steeds later
In juni 2020 stuurde het kabinet de evaluatie van de Wet betaaltermijnen grote bedrijven naar de Tweede Kamer. Daaruit blijkt: kleine en middelgrote ondernemers die aan het grootbedrijf leveren, moeten gemiddeld steeds langer wachten tot hun factuur wordt voldaan. Ook blijkt dat de betaaltermijn regelmatig door het grootbedrijf wordt bepaald en in sommige gevallen zelfs zonder overleg wordt verlengd. Veel ondernemers komen in de knel als ze lang op hun geld moeten wachten.

Naast wet ook vaste toezichthouder nodig?
Uit de evaluatie Wet betaaltermijnen grote bedrijven bleek ook dat mkb-ondernemers zich beperkt voelen om het nakomen van de betaalafspraken zelf af te dwingen. Een onafhankelijke toezichthouder kan dit probleem wegnemen, bijvoorbeeld door signalen van meerdere mkb-ondernemers te bundelen en sancties op te leggen. Eerst is het goed om te onderzoeken óf mkb’ers late betalingen melden, en hoe groot het probleem is van late betalingen. Daarom heeft het kabinet de ACM gevraagd om vanaf 26 januari 2021 gedurende één jaar anoniem meldingen te registeren van mkb’ers die te laat betaald worden.

Hoe werkt het Meldpunt?
Op 26 januari 2021 is het Meldpunt Achterstallige Betalingen geopend. De ACM registreert gedurende één jaar anoniem meldingen van mkb’ers over grote ondernemingen die te laat betalen. Mkb’ers kunnen op de website van de ACM een melding doen door een online formulier in te vullen. In dit formulier kan de mkb-onderneming aangeven welk groot bedrijf te laat betaalt, om welk factuurbedrag het gaat en hoe lang de daadwerkelijke betaling duurt. Hierbij is het niet nodig om naam, adres of bedrijfsnaam te vermelden.

Geplaatst in Contractenrecht, privaatrecht algemeen, Handelsrecht | Tags: , , , | Plaats een reactie

Bibob en de zus van de crimineel | ABRvS 1 september 2021

Geplaatst op 1 oktober 2021 door Ellen Timmer

In de afgelopen jaren is de reikwijdte van de Wet bevordering integriteitsbeoordelingen door het openbaar bestuur (Wet Bibob) regelmatig uitgebreid, zodat ondernemingen en organisaties steeds vaker met deze wet en met integriteitstoetsing te maken krijgen.

Van oudsher vindt een Bibob-toetsing plaats bij aanvraag van een horecavergunning bij een gemeente. Zo’n zaak werd onlangs door de Afdeling Bestuursrechtspraak van de Raad van State afgehandeld en roept de vraag op wanneer een vergunningaanvrager gevolgen ondervindt van criminele antecedenten van een familielid. In deze zaak werd de horecavergunning aangevraagd door een vrouw zonder strafblad of andere antecedenten. Haar broer had dat in ruime mate.

Op grond van het Bibob-advies werd haar horecavergunning geweigerd, vanwege het zakelijke samenwerkingsverband met haar broer. Dat samenwerkingsverband wordt in de uitspraak als volgt beschreven, [appellante] is de aanvraagster en [bedrijf A] en [holding] zijn ondernemingen van haar broer:

Dit is van belang nu tussen [appellante], haar broer en [bedrijf A] een zakelijk samenwerkingsverband bestaat. Dit blijkt onder meer uit het feit dat het moederbedrijf van [bedrijf A], [holding], aan [appellante] het pand met inboedel waarop de aangevraagde vergunningen betrekking hebben, heeft verhuurd. Volgens het Bureau heeft [bedrijf A] aan [appellante] ook vermogen verschaft. Haar broer heeft verder aangegeven toezicht te zullen houden op de bedrijfsvoering van het horecabedrijf.

In de uitspraak komt die samenwerking verder niet aan de orde, het gaat alleen over de criminele broer.

Interessant is of familieleden van criminelen nooit meer door een Bibob-toetsing komen, wat het risico verhoogt dat zij zelf door uitsluiting ook in het criminele circuit belanden. In deze zaak was er een serieus verband (verhuur bedrijfsruimte, verschaffing vermogen, houden toezicht) en een broer-zus relatie. Gesteld dat er alleen een lening wordt verschaft, worden dan de strafbare feiten van het familielid in het kader van de Bibob-toetsing tegengeworpen aan de aanvrager van de vergunning? Maakt het verschil welke familierelatie er is?

In juli vorig jaar schreef ik een artikel over een gemeentelijk ondermijningsproject, waarin door de projectambtenaren werd verondersteld dat alle familieleden van drugsverdachten zelf ook verdacht zijn (zie onder het tussenkopje ‘Drugs’).

Het valt te hopen dat de goeden niet onder de kwaden lijden.

 

Meer informatie:

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, Strafrecht | Tags: , | 1 reactie

Insolventiebestrijding met economische knipperlichten | België

Geplaatst op 30 september 2021 door Ellen Timmer

In de verschillende EU-staten gelden op allerlei terreinen heel verschillende regels, anders dan veel Nederlanders denken. (Als er iets wel gelijkend is, wordt dat meestal veroorzaakt door Europees recht.)

Een goed voorbeeld is België, waarover ik onlangs las dat zij insolventie bestrijden met een register van economische knipperlichten. Op grond van het Belgische Wetboek van economisch recht, aldus het artikel, moeten ondernemingen in financiële moeilijkheden worden opgespoord door de ondernemingsrechtbanken. In het register staan allerlei gegevens.
Hoe het register zich verhoudt tot diverse andere registers, zoals het ubo-register, het register van bankrekeningen en het kadaster, vermeldt het artikel niet.

Geplaatst in Insolventierecht | Tags: | Plaats een reactie

De toekomstige jurist bij de Nederlandse Juristenvereniging

Geplaatst op 30 september 2021 door Ellen Timmer

Op 8 oktober a.s. vergadert de Nederlandse Juristenvereniging (NJV) over de toekomst van de jurist, onder het motto “De toekomst van de jurist, de jurist van de toekomst”, ik schreef er al eerder over.

Inmiddels zijn de preadviezen bekend.

Anna Berlee schreef een interessant preadvies over digitalisering in het recht, met onder meer aandacht voor ‘legaltech’.

Helaas kom ik in de preadviezen nergens iets tegen over de misdaadbestrijdende rol (op grond van de witwasbestrijdingsregels) van advocaten, notarissen en juridisch adviseurs [*] en het vermeende ‘faciliteren’ van criminaliteit door deze beroepsgroep. Natuurlijk zijn de preadviezen breder dan alleen advocatuur, notariaat en andere juridische dienstverleners, maar het zou goed zijn geweest als preadviseur Anne Ruth Mackor, die schreef over juridische beroepsethiek, hier aandacht aan had besteed.

Het neemt niet weg dat het interessant is van de preadviezen kennis te nemen.

 

Meer informatie:

 

[*] Deze taak hebben juristen alleen bij specifieke in de Wwft aangewezen diensten, zoals bij fusie en overname van ondernemingen.

Geplaatst in Dienstverlening - juridisch financieel [advocaten, accountants, belastingadviseurs e.d.] | Tags: , , , , , , , , , | Plaats een reactie

Privacy myths

Geplaatst op 29 september 2021 door Ellen Timmer

Jaap-Henk Hoepman writes interesting articles on the privacy myths, the first three are:

# Privacy Myth 1 – We Are Not Collecting Personal Data – “Is the company responsible for maintaining the car park correct when it claims it is not collecting personal data?”
# Privacy Myth 2 – You Have Zero Privacy Anyway—Get Over It – “Has a century of progress, especially in the area of information and communication technology, really killed privacy?”
# Privacy Myth 3 – I’ve Got Nothing To Hide – “Nothing is more pervasive than the “If you’ve got nothing to hide, then what do you have to fear?” myth.”

More on his blog.

Geplaatst in English - posts in English on this blog, Grondrechten, ICT, privacy, e-commerce | Tags: | Plaats een reactie

A statute for European cross-border associations and non-profit organisations | JURI-meeting, AML/CFT in the non-profit

Geplaatst op 29 september 2021 door Ellen Timmer

Tomorrow the Committee on Legal Affairs (JURI) of the European Parliament (EP) will amongst others discuss a draft EP-resolution regarding a statute for European cross-border associations and non-profit organisations and opinions by two other committees (LIBE and EMPL) on the same matter.

In the draft resolution it is considered that cross-border associations and non-profit organisations are important for society. The Commission in the draft resolution is requested:

  • to submit a proposal for a Directive on common measures for NPOs in the EU, creating a level playing field for associations and NPOs by establishing minimum standards,
  • to submit a Regulation establishing a statute for a European Association,

following the recommendations set out in the resolution and in Annex I (in regard of the Directive) and in Annex II (in regard of the Regulation).

AML and CFT in the draft Regulation
In the draft Regulation attention is paid to the negative effects of anti-money laundering measures, e.g. in the preamble:

(8) According to the judgment of the Court of Justice [1], Article 63 of the Treaty on the Functioning of the European Union (TFEU) and Articles 7, 8 and 12 of the Charter of Fundamental Rights of the European Union (the ‘Charter’) protect non-profit organisations against discriminatory, unnecessary and unjustified restrictions to access to resources and the free movement of capital within the Union. This also concerns the ability to seek, secure and use resources of both domestic and foreign origin, which is essential to the existence and operation of any legal entity. Restrictions can be imposed for legitimate aims, such as in the interests of national security, public safety or public order, but should be proportionate to the objective of protecting such interests, and the least intrusive means of achieving the desired objective. This concerns, among others, restrictions deriving from rules on combating money laundering and terrorist financing, which are applied in accordance with the principles of necessity and proportionality, having regard in particular to risk-assessment obligations under international and Union law. Therefore, Member States cannot apply unreasonable, overly intrusive or disruptive measures, including reporting requirements placing an excessive or costly burden on organisations.

[1] Judgment of the Court of Justice of 18 June 2020, European Commission v Hungary, C-78/18, ECLI:EU:C:2020:476.

 

According to Article 22 of the draft Regulation provisions of Union and national law concerning money laundering and terrorist financing will apply, apparently including the provisions regarding the ‘beneficial owner’ (that associations do not have).

Minimum standards for non-profit organisations
In Annex II minimum standards for non-profit organisations are proposed. It includes non-discrimination (Article 5), simplification of administrative rules (Article 6), principle of good administration (Article 7) and right to an effective remedy (Article 8). The draft introduces a ‘public benefit status’ (Article 14).

Regarding AML and CFT Article 25, paragraph 2 says:

2. For the purpose of paragraph 1, Member States shall take the measures necessary to ensure that reporting and transparency obligations applicable to non-profit organisations pursuant to national laws, regulations and administrative practices on countering money laundering and terrorist financing, including those implementing Union and international obligations, are based on a targeted and up-to-date risk-based assessment of the sector and of the organisations concerned and do not result in disproportionate requirements or in the undue limitation of non-profit organisations’ access to financial services.

 

It is interesting to see if this will improve the position of non-profit organisations in the EU.

 

More information:

EU:

  • Draft agenda of the JURI meeting of 30 September 2021, webstreamed during the meeting, agendapunt JURI/9/02511.
  • JURI draft report of 15 September 2021, regarding a resolution on a statute for European cross-border associations and non-profit organisations (2020/2026(INL)).
  • Draft opinion Committee on Civil Liberties, Justice and Home Affairs (LIBE) for JURI, 28 September 2021.
  • Draft opinion Committee on Employment and Social Affairs (EMPL) for JURI, 1 August 2021.
  • Procedure file European Parliament.
  • The studyA statute for European cross-border associations and non-profit organisations – European added value assessment‘, prepared by Klaus Müller and Meenakshi Fernandes for the European Parliamentary Research Service (EPRS).
  • My article on the study by the European Parliament Think Tank.

European Center for Not-for-profit Law (ECNL) on the problems faced by non-profit organisations :

Geplaatst in Bankrekening krijgen en behouden, English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Not-for-profit, Rechtspersonenrecht, Stichting en vereniging | Tags: , , , , | Plaats een reactie

Medische voorlichting door de overheid in strijd met farma-regels? | corona-vaccinatie

Geplaatst op 28 september 2021 door Ellen Timmer

In mijn eerdere artikel over aansprakelijkheid voor vaccinatieschade constateerde ik dat artsenorganisatie KNMG er van uitgaat dat artsen geen medische voorlichting hoeven te geven omdat de overheid vaccinatie heeft voorgeschreven (zie deze pagina) [*]. Wel schrijft de KNMG dat de arts moet nagaan of er contra-indicaties zijn (zie onder het kopje ‘Welke verantwoordelijkheden heb ik als arts voor COVID-19 vaccinaties?‘).

Een specialist op het gebied van van medisch-juridische zaken en medische ethiek, mevrouw Mittemeijer Ooteman, had de moed om zich te laten interviewen over de regels waaraan de farmaceutische sector zich moet houden op het gebied van aanprijzing van geneesmiddelen, bekijk deze video. Op heldere wijze geeft zij aan dat de rijksoverheid alle regels aan de laars lapt.

Overigens komt in de video niet aan de orde of de ongenuanceerde bevordering door de rijksoverheid van corona-vaccinatie van gezonde mensen zou kunnen worden gerechtvaardigd door een vorm van noodrecht.

 

[*] Elders kwam ik bij KNMG tegen dat de rijksoverheid die voorlichting moet geven, maar die bron kon ik zo snel niet vinden.

 

Aanvulling 7 oktober 2021
Inmiddels kwam ik een publicatie van Nivel uit 2019 tegen over vaccinatie van kinderen, ‘Maatregelen om de vaccinatiegraad in Nederland te verhogen‘, waaruit blijkt dat de zorgverlener wel degelijk een informatieplicht heeft. Zie pagina’s 47/48:

Als de Wgbo niet is gewijzigd, zou ik zeggen dat dit nog steeds relevant is.

Geplaatst in Grondrechten | Tags: , | Plaats een reactie

Overheden en nutsbedrijven horen voor hun communicatie geen gebruik te maken van advertentiebedrijven (‘social media’) | AVG

Geplaatst op 27 september 2021 door Ellen Timmer

Overheden en nutsbedrijven maken voor communicatie met de burger respectievelijk de klanten soms gebruik van advertentiebedrijven zoals Facebook en Twitter. Dit kan natuurlijk niet door de privacy-beugel van de Algemene Verordening Gegevensbescherming (AVG).

Logisch dat de Duite privacytoezichthouder aan de overheid heeft opgedragen de Facebook pagina’s te sluiten. Het NRC schreef er op 30 juni jl. over (betaalmuur). Dit leidde tot vragen uit de Tweede Kamer die door de Minister van Binnenlandse Zaken op 15 september jl. werden beantwoord:

In de NRC van 30 juni jl. stond het artikel ‘Duitse privacywaakhond: regering moet Facebookpagina’s sluiten’. Het artikel vermeldt dat de Duitse regering en andere overheidsinstellingen door de Federale commissaris voor Gegevensbescherming en Vrijheid van informatie (BfDI) worden aangeschreven om hun Facebookpagina’s voor het eind van het jaar te sluiten. Daarbij wordt geschreven dat sluiting afgewend kan worden als Facebook voor het eind van dit jaar zorgt voor betere bescherming van persoonsgegevens. Op uw verzoek van 2 juli jl. geef ik u hierbij mijn eerste reactie op dat artikel.

Net als de Duitse overheid maakt ook de Nederlandse overheid gebruik van Facebookpagina’s. Dat moet vanzelfsprekend gebeuren binnen de regels voor het beschermen van persoonsgegevens, zoals die onder meer zijn vastgelegd in de Algemene Verordening Gegevensbescherming (AVG). De overheidsinstelling kan als beheerder van een Facebookpagina in sommige gevallen worden aangemerkt als gezamenlijk verwerkingsverantwoordelijke, in dit geval samen met Facebook, in de zin van artikel 26 van de AVG. In een uitspraak heeft het Hof van Justitie van de Europese Unie [1] namelijk geoordeeld dat een beheerder van een Facebookpagina niet van de verplichting tot bescherming van persoonsgegevens wordt ontslagen door het feit dat de beheerder gebruik maakt van het door Facebook beschikbaar gestelde platform. Als gezamenlijk verwerkingsverantwoordelijken moeten Facebook en de overheid beide voldoen aan de regels van de AVG en dit ook kunnen aantonen. [2]

Ik vind het belangrijk dat de Nederlandse overheid op rechtmatige en zorgvuldige wijze omgaat met (de bescherming van) persoonsgegevens. Daarom laat ik op dit moment uitzoeken op welke manier de Rijksoverheid gebruik maakt van Facebookpagina’s, welke AVG-rol daarin wordt aangenomen en welke afspraken met Facebook hierover mogelijk al bestaan. Met deze informatie zal ik bezien of een gegevensbeschermingseffectbeoordeling (DPIA) moet worden opgesteld om te bekijken of er aanvullende maatregelen nodig zijn. Zo nodig leg ik een DPIA voor aan de Autoriteit Persoonsgegevens.

Mijn streven is om u voor het einde van het jaar verder te informeren.

[1] Hof van Justitie van de Europese Unie, 5 juni 2018, ECLI:EU:C:2018:388.
[2] Artikel 5, tweede lid, AVG.

 

Het is de vraag of een DPIA wel gaat helpen tegen de praktijken van Facebook. Ik ben van mening dat overheden en bedrijven met een nutsfunctie (zoals banken) niet op Facebook thuis horen.

De Noorse privacy toezichthouder is er al uit:

 

 

Zij concluderen dat Facebook niet gebruikt kan worden.

 

Meer informatie:

Geplaatst in ICT, privacy, e-commerce | Tags: , , , , , | 1 reactie