Court decision in Belgian FATCA-procedure expected on 3 December 2025

Geplaatst op 23 oktober 2025 door Ellen Timmer

In Belgium proceedings are underway concerning the validity of transfers of personal data to the US under the FATCA-agreement that Belgium has concluded with the US (that is identical to all other FATCA-agreements of the US with EU-member states).
These agreements are detrimental to anyone who is a tax resident of the EU and has American nationality, as the agreements export Citizenship-Based Taxation (CBT). With CBT, the US is the only country in the world that deviates from the internationally accepted system of Residence-Based Taxation (RBT).

Decision of April 2025
In April this year the Belgian Data Protection Authority [DPA] (Gegevensbeschermingsautoriteit / Autorité de protection des données) took a new decision on the matter (my article in Dutch, DPA decision in French).

Appeal
The DPA-decision was appealed by the Belgian administration.
The French organisation of the victims of the FATCA-agreements, the Association des Américains Accidentels (AAA), reported on their Facebook page and on linkedin that the hearing of the Belgian Markets Court (Marktenhof / Cour des marchés) has taken place yesterday and that the decision of the court is expected on 3 December (also mentioned on the Facebook page of the Dutch Accidental Americans group).
According to the AAA article, the following has been put forward on behalf of the Belgian victims of the FATCA-agreements:

📑 During the hearing, it was emphasized that data transfers carried out under FATCA raise serious concerns under the #GDPR, particularly regarding the principles of purpose limitation, proportionality, and data minimisation. It was also argued that the “important public interest” exception provided for in Article 49(1)(d) cannot serve as a basis for systematic and large-scale transfers to a country that does not offer equivalent safeguards, and that the Belgian tax administration has never conducted the impact assessment required by EU law.
The Court of Markets was invited to consider referring several preliminary questions to the Court of Justice of the European Union (CJEU), including:

👉 Whether large-scale transfers of personal data to the United States under FATCA comply with the fundamental principles of the GDPR;
👉Whether the “important public interest” derogation can be relied upon to justify such ongoing and generalised transfers;
👉 And whether, under Article 96 of the GDPR, Member States may continue to apply an international agreement concluded before the Regulation entered into force, when it conflicts with EU law and the Charter of Fundamental Rights.

We’ll see what happens.

 

 

Information on this site on FATCA:

Geplaatst in Bankrekening krijgen en behouden, Belastingrecht, English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , | Plaats een reactie

Mind the Gap | Age Assurance and the Limits of Enforcement under EU Law

Geplaatst op 22 oktober 2025 door Ellen Timmer

On the interface site a report was published on the protection of minors online. From the executive summary of the report:

Children and young people today grow up in a highly connected digital environment that provides access to educational content, entertainment, and peer communities but also exposes them to significant risks including cyberbullying, grooming, harmful or pornographic content, addictive design features, and the misuse of personal data. These risks are not only well documented in academic literature and civil society reports; they have also become a central concern for policymakers at the European Union (EU) and EU Member State levels.

In early June 2025, French president Emmanuel Macron announced his intention to have social media banned in France for under-15s ‘in the coming months’ if no progress was made at the EU level on this matter. Since then, the French Delegate Minister for AI and Digital Affairs, Clara Chappaz, has been on a crusade to rally other Member States to the cause. Cyprus, Denmark, Greece, Italy, Slovenia, and Spain soon joined forces in supporting the idea of having EU-wide age check mechanisms. Just over two weeks after President Macron’s announcement, 21 ministers from 13 Member States signed an op-ed asking to take decisive action ‘now’ to protect children online. For them, the existing legal framework ‘remains insufficient’.

Over the past fifteen years, though, the EU has adopted an increasingly dense set of measures and instruments to protect minors online. The General Data Protection Regulation (GDPR), the Audiovisual Media Services Directive (AVMSD), the Digital Services Act (DSA), and the Artificial Intelligence Act (AI Act) all contain provisions that specifically address children’s vulnerabilities. Complementary non-binding instruments—such as the Better Internet for Kids+ (BIK+) Strategy—reinforce the EU’s commitment to providing a safe and empowering digital environment for minors. At the Member State level, governments have introduced their own rules and enforcement models, notably France with its Loi SREN and Germany with its long-standing Jugendmedienschutz-Staatsvertrag.

However, despite these initiatives, minors remain insufficiently protected. The gap between what the existing framework requires and what happens in practice is striking. This paper’s central argument is that the key problem today is not a lack of legislation or awareness but a failure of implementation and enforcement. (…)

The central message is that, in the short run, more legislation is not the solution. Instead, the EU and Member States should focus on making the existing rules work by ensuring that minors’ rights are not just recognised in law but protected in practice. Only by closing the implementation gap can Europe fulfil its ambition of providing children with a digital environment that is truly safe, empowering, and respectful of their rights.

It fits in well with my view of fundamental rights in the EU: fine words and high aspirations, but when it comes down to it, they are not enforced.

Geplaatst in English - posts in English on this blog, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , | Plaats een reactie

Een digitale VvE-vergadering, is dat verstandig?

Geplaatst op 21 oktober 2025 door Ellen Timmer

In de Tweede Kamer wordt een voorstel voor de Wet digitale algemene vergadering privaatrechtelijke rechtspersonen [1] behandeld.
In het wetsvoorstel worden geen veiligheidseisen aan de elektronische deelname aan de vergadering gesteld. In enige bepalingen staat niet meer dan [2]:

Voor de toepassing van lid 6 is vereist dat de degene die toegang heeft tot de algemene vergadering via het elektronisch communicatiemiddel kan worden geïdentificeerd, rechtstreeks het stemrecht kan uitoefenen en via een tweezijdig audiovisueel communicatiemiddel rechtstreeks kan kennisnemen van de verhandelingen ter vergadering alsmede rechtstreeks kan deelnemen aan de beraadslaging.

Het lijkt er op dat er door vergadergerechtigden geen bezwaar kan worden gemaakt tegen het gekozen digitale communicatiemiddel als dat onveilig is of gegevens kan lekken.

Op grond van een wijzigingsvoorstel wordt digitaal vergaderen eveneens mogelijk voor verenigingen van eigenaars (VvE’s), hoewel je zou zeggen dat fysiek vergaderen geen probleem hoeft te zijn nu de meeste appartementseigenaren ook wonen in hun appartement. Deze aanpassing is voorgesteld in een nota van wijziging van 26 september jl. [3]. Opvallend is dat het voor VvE’s heel makkelijk wordt gemaakt om digitaal te vergaderen, aldus de toelichting:

Anders dan bij de gewone vereniging is er geen voorafgaande machtiging van de algemene vergadering vereist om (volledig) digitaal te kunnen vergaderen.

Appartementseigenaren moeten er moeite voor doen om toch een fysieke vergadering bijeen te roepen, wat merkwaardig is, nu in de toelichting op de wijziging wordt erkend dat er digitaal minder vaardige eigenaren kunnen zijn.
Er is een versie van het wetsvoorstel waarin de laatste wijzigingen zijn verwerkt [4].

Het wetsvoorstel kan zorgen voor een nieuwe bron van cybersecurity risico’s, waar het digitale dievengilde blij mee zal zijn.

Het plenaire debat over dit wetsvoorstel is op dit moment gepland op 24 november a.s.

 

 

Noten:

[1] Dossier 36489, pagina Tweede Kamer, waar de volgende introductie wordt vermeld:

Doel van dit wetsvoorstel is het gebruik van elektronische communicatiemiddelen bij algemene vergaderingen van privaatrechtelijke rechtspersonen te faciliteren en te normeren door:
1. het wijzigen van Boek 2 en Boek 5 van het Burgerlijk Wetboek en enige andere wetten
2. nadere voorwaarden te stellen aan het gebruik van elektronische communicatiemiddelen bij de algemene vergadering zodat er bij de algemene vergadering draagvlak is voor het houden van een volledig digitale of hybride vergadering, een digitale vergadering zoveel mogelijk een afspiegeling vormt van een fysieke vergadering en deelnemers ook langs digitale weg daarin volwaardig kunnen participeren.
3. aanpassen van de regels voor oproeping voor de algemene vergadering zodat oproeping langs elektronische weg vereenvoudigd wordt.
Deze samenvatting is gebaseerd op het wetsvoorstel en de memorie van toelichting zoals ingediend bij de Tweede Kamer.

[2] Wetsvoorstel, artikel I, onderdeel A inzake artikel 38 boek 2 BW, aanpassing van het zevende lid van artikel 38.

[3] Artikel II van de nota van wijziging.

[4] Het bijgewerkte wetsvoorstel dateert van 26 september jl. en is bijgewerkt tot en met nr. 12.

Geplaatst in ICT, privacy, e-commerce, Not-for-profit, Rechtspersonenrecht | Tags: , , | Plaats een reactie

Thomas Bollen over het geldstelsel

Geplaatst op 20 oktober 2025 door Ellen Timmer

Thomas Bollen, journalist bij Follow the Money, heeft een boek gepubliceerd over het geldstelsel, ‘Geld genoeg, maar niet voor jou‘ (onder meer te koop via de boekenpagina van FtM). Uit de introductie:

Onderzoeksjournalist Thomas Bollen neemt je mee naar het internationale strijdtoneel van ons geld. Hier nemen burgerbewegingen, wetenschappers en oud-bankiers het op tegen de machtigste bedrijven ter wereld. Samen reizen we langs de goudkluizen en banktorens van de gevestigde financiële orde. We volgen hoe geld door de samenleving stroomt en ontrafelen hoe tech-miljardairs en cryptobedrijven met hun digitale munten stilletjes de macht overnemen.
Als we niet ingrijpen, groeit de kloof tussen de superrijken en de rest. Geld genoeg, maar niet voor jou laat zien wat er nodig is om het tij te keren. Hoe heroveren we de macht over ons geld?

Hij schreef over zijn boek het artikel Hoe heroveren we de macht over ons geld? (betaalmuur).

Bollen is ook gestart met een serie podcasts, die niet achter een betaalmuur zitten. In de aflevering ‘Als Europa niets doet, verliezen we de macht over ons geld’ (onder meer te beluisteren via FtM en Apple podcast) interviewt hij Martijn van der Linden, ooit bankier bij ING en nu actief bij stichting Ons Geld. Het is interessant om te horen dat volgens hen geld nu grotendeels wordt gemaakt door de banken, met allerlei onprettige neveneffecten, en dat er juist overheidsgeld (contant geld en de digitale euro / CBDC) nodig is om een tegenwicht te bieden aan de geldcreatie door banken. Ook een WRR rapport over ons geldstelsel passeert de revue.

Het is boeiende materie waar ik niet in thuis ben.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Grondrechten | Tags: , , | Plaats een reactie

BIS proposes financial surveillance as an alternative to the failed AML/CFT system of the FATF

Geplaatst op 19 oktober 2025 door Ellen Timmer

The Bank for International Settlements (BIS) this month published the article The use of artificial intelligence for policy purposes on a report (pdf) submitted to the G20 Finance Ministers and Central Bank Governors.
In the paragraph ‘Oversight of payment systems‘ [*] the authors explain that the current system of detecting financial crime (anti-money laundering, ‘AML’, and countering the financing of terrorism, ‘CFT’) is highly inadequate:

While rule-based monitoring is straightforward, it suffers from a number of shortcomings. It is notorious for false positives – vast numbers of flagged transactions that upon investigation turn out to be innocuous. It is not uncommon for 95% or more of anti-money laundering (AML) alerts to be false positives, creating huge workloads for compliance teams (and the financial intelligence units that they file reports to) and likely distracting from real criminal schemes. (…)
Partly due to these reasons, the result is an ineffective, fragmented global payments system. Criminals exploit the fragmentation and complexity of payment networks to hide illicit funds, while banks expend enormous resources on compliance.

It shows that the concepts developed by the FATF and the EU have led to large-scale waste of money.

The solution is to treat every account holder as a potential criminal and to and to drag a dragnet over all financial transactions of account holders at various banks. This concept was tested in the BIS project Aurora:

Project Aurora was launched by the BIS Innovation Hub as a proof of concept to test new techniques for AML monitoring across institutions and borders (BISIH (2023)). (…)
By having a more complete view of transaction networks, AI models can uncover complex money laundering patterns that would evade isolated checks at one bank. (…)

Aurora successfully performed a simulated collaborative analysis. Multiple institutions’ transaction data were combined in encrypted form, and graph neural networks (a type of AI suited for network data) were applied to identify suspicious clusters of transactions. The results are striking. Aurora’s approach proved far more effective than traditional rule-based AML monitoring approaches. According to the published findings, it detected up to three times more money laundering cases involving complex schemes and at the same time reduced false positives by up to 80%.

The reasons underlying the success are instructive and point to the value of combining behavioural analytics and data-sharing. First, instead of focusing on individual transactions, the focus was on the behaviour of networks of transactions (pattern of flows and relationships between senders/receivers) to spot anomalies indicative of laundering rings. This network-centric, behavioural approach improves detection as launderers might hide individual transactions, but their overall network behaviour (eg funds circling through intermediaries and back to the origin, and multiple accounts funnelling to one exit point) can give them away. Second, by pooling data from many institutions (with appropriate privacy safeguards), the ML algorithms have the “big picture” – they can see the crossinstitution connections that a single bank’s system would miss. For example, Bank A might see funds going to Bank B, and Bank B sees them going to Bank C. But neither alone sees A→B→C as one chain. The combined view does, and for some ML techniques like artificial neural networks and graph neural networks, such a holistic view can substantially improve performance.

The authors of the report believe that fundamental rights are respected in the financial dragnet (financial surveillance) that was tested in the Aurora project. The question is whether this is really the case.

 

 

[*] Paragraph 3.3, page 7 and further of the report (pdf).

Geplaatst in English - posts in English on this blog, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , | Plaats een reactie

Nederland vergroot afhankelijkheid van Microsoft

Geplaatst op 18 oktober 2025 door Ellen Timmer

Het ministerie van Financiën maakte bekend dat het ministerie overstapt naar de Microsoft cloud [1] wat ingaat tegen Nederlandse en Europese voornemens om minder afhankelijk te worden van grote partijen van buiten de EU.

Dat leidde tot de nodige kritiek, onder meer van tech expert Bert Hubert [2], die eind september schreef: Je kunt je digitale autonomie niet kopen in Amerika.

Zou er ooit een politiek zonder Big Tech-afhankelijkheid komen? Tijdens een bijeenkomst [3] werd daar over gesproken.

 

 

Noten:

[1] Mooi verhullend aangeduid als ‘Overstap kantoorautomatisering naar M365‘.

[2] Hij publiceert hier over op zijn site. In zijn nieuwsbrief schreef hij: “Dit gaat niet alleen om de email van nu maar zal ook de archieven van medewerkers omvatten. Je moet dus voorstellen dat alle mails en stukken over ons binnenkort in een grote operatie geüpload zullen worden naar Amerika.
Hier was enige media-ophef over, en ik mocht er boos over zijn bij nu.nl, nrc.nl, rtl.nl en bnr.nl.
Ik schreef al eerder dat men ons waarschijnlijk ‘demissionair de cloud in ging rommelen’. Gelijk krijgen is lang niet zo bevredigend als je zou denken. Het is immens frustrerend.
Vreemd genoeg beweert de belastingdienst dat ze niets anders kunnen, terwijl andere even grote stukken overheid er wel in slagen mail op hun eigen servers te houden. De belastingdienst heeft overigens geen deadline die hun dwingt ons uit te leveren aan Amerika.
Ze vinden het zelf urgent genoeg dat ze niet de tijd nemen om (zoals andere stukken overheid) te investeren in eigen servers. Ik weet dat de mensen op de werkvloer het daar ook graag anders gezien hadden. De oorzaak van dit alles ligt in het niet op tijd vooruitdenken in Den Haag.
Vroeger zeiden we “regeren is vooruitzien” maar dat klinkt nu toch met name als een wrange grap.

[3] Naar een politiek zonder Big Tech-afhankelijkheid, 1 oktober 2025.

Geplaatst in ICT, privacy, e-commerce | Tags: , , , , , | Plaats een reactie

De aanbieder van kansspelen op afstand moet zijn spelers kennen | AML, CFT

Geplaatst op 17 oktober 2025 door Ellen Timmer

De raad van bestuur van de Kansspelautoriteit (Ksa) heeft nieuwe beleidsregels gepubliceerd voor aanbieders van kansspelen op afstand [1]. In die beleidsregels komt het integriteitsbeleid van de aanbieders aan de orde [2] en ook de naleving van de Nederlandse antiwitwaswet [3], die binnenkort door de Anti-Money Laundering Regulation (AMLR) wordt vervangen.

Risicoprofiel
Boeiend is dat de wetgever (en dus ook Ksa) van de veronderstelling uitgaat dat de kansspelaanbieder op afstand een cliëntenonderzoek bij de spelers kan uitvoeren, zie artikel 9.2:

Artikel 9.2 Cliëntenonderzoek

1. Bij de beoordeling van de wijze waarop een in artikel 9.1, eerste lid, onderdeel a, genoemd cliëntenonderzoek wordt uitgevoerd, betrekt de raad van bestuur in ieder geval:

a. de werkwijze omtrent de verificatie van de identiteit van een speler, als bedoeld in artikel 3, tweede lid, onderdeel a, van de Wwft;
b. de werkwijze omtrent het toekennen van een risicoprofiel aan een speler, als bedoeld in artikel 3, tweede lid, onderdeel d, en achtste lid, van de Wwft;
c. de werkwijze omtrent de voortdurende controle op spelers en hun transacties, als bedoeld in artikel 3, tweede lid, onderdeel d, van de Wwft, waaronder in ieder geval wordt begrepen:

i. de werkwijze omtrent de beoordeling van risico’s van witwassen, waaronder ook – voor zover van toepassing – het risico van manipulatie van een wedstrijd; en
ii. de werkwijze omtrent de beoordeling van een ongebruikelijke transactie, als bedoeld in artikel 15, eerste lid van de Wwft en artikel 4, eerste lid, van het Uitvoeringsbesluit Wwft 2018, in deze werkwijze zijn verwerkt.

d. de werkwijze omtrent het zo nodig uitvoeren van een onderzoek naar de bron van de middelen, als bedoeld in artikel 3, tweede lid, onderdeel d, van de Wwft.

2. Bij de beoordeling van de wijze waarop een in artikel 9.1, eerste lid, onderdeel a, genoemd cliëntenonderzoek wordt uitgevoerd, beoordeelt de raad van bestuur eveneens of wordt gewaarborgd:

a. dat voor iedere speler een cliëntenonderzoek wordt uitgevoerd als bedoeld in artikel 3, eerste lid en artikel 3, vijfde lid, onderdeel a, van de Wwft; en
b. dat de verificatie van de identiteit van een speler is afgerond voordat de zakelijke relatie wordt aangegaan, als bedoeld in artikel 4, eerste lid, van de Wwft.

Identificatie zal wel lukken, maar het toekennen van een witwas- en terrorismefinancieringsrisicoprofiel aan iedere speler vind ik wonderbaarlijk. Hoe het precies gebeuren moet blijkt niet uit de beleidsregels. Waarschijnlijk wordt het met artificial intelligence gedaan, wat naar mijn indruk een moderne variant van astrologie is. Ook andere elementen van de antiwitwas-KYC lijken me lastig uitvoerbaar.

Uitbesteding
De kansspelaanbieder mag van alles uitbesteden [4]. De indruk wordt gewekt dat ook de naleving van de antiwitwas- en terrorismefinancieringsbestrijdingsverplichtingen mag worden uitbesteed [5], terwijl die mogelijkheden op grond van het huidige Nederlandse recht beperkt zijn.

Intussen regent het klachten dat de kansspelregels niet hebben gezorgd voor vermindering van de verslaving. Dus er is op dat gebied nog veel werk aan de winkel.

 

 

Noten:

[1] Beleidsregels vergunningverlening kansspelen op afstand 2026, Staatscourant.
[2] Paragraaf 4.
[3] Zie paragraaf 9. Wet ter voorkoming van witwassen en financieren van terrorisme.
[4] Paragraaf 11.
[5] Zie artikel 11.2 leden 3 en 4:

3. Bij de beoordeling van de in het eerste lid, onderdeel b, genoemde risico’s betrekt de raad van bestuur in ieder geval:
a. hoe wordt gewaarborgd dat de aanvrager zich voldoende vergewist en passende maatregelen treft met betrekking tot de naleving van de voorschriften gesteld bij of krachtens de wet, de Wwft of de Sanctiewet 1977 door de derde;
b. hoe de geschiktheid en de betrouwbaarheid van de derde worden gewaarborgd; en
c. hoe de transparantie en kenbaarheid met betrekking tot de aanvrager voor de consument worden gewaarborgd.

4. Bij de beoordeling van het in het eerste lid, onderdeel c, genoemde toezicht betrekt de raad van bestuur in ieder geval:
a. hoe wordt gewaarborgd dat toezicht door de aanvrager op de naleving van de voorschriften gesteld bij of krachtens de wet, de Wwft of de Sanctiewet 1977 bij de derde mogelijk is;
b. hoe wordt gewaarborgd dat toezicht door de raad van bestuur op de naleving van de voorschriften gesteld bij of krachtens de wet en de Wwft bij de derde mogelijk is;
c. dat de getroffen maatregelen jegens de derde schriftelijk worden vastgelegd.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , | Plaats een reactie

Binnenkort heeft heel Nederland een slimme meter

Geplaatst op 16 oktober 2025 door Ellen Timmer

Op de site van het RDI wordt uitgelegd dat er twee soorten digitale energiemeter zijn: de ‘slimme meter’ en de ‘digitale meter’. De digitale meter zou geen communicatiemogelijkheden hebben, terwijl de slimme meter die wel heeft. Binnenkort wordt het verplicht om één van deze twee meters in huis te hebben, op security.nl verscheen daar over het bericht (met vele reacties) dat de hoogte van de dwangsom die de weigeraars moeten betalen nog niet bekend is.

De weigeraars van de slimme meters zijn aan de verliezende hand, want Netbeheer Nederland meldt dat 90% van de Nederlandse huishoudens al een slimme meter heeft.

Als er eenmaal een slimme meter staat, kan de volgende eigenaar van het pand niet vragen om vervanging door een digitale meter zonder communicatiemogelijkheden. Dat blijkt uit de publicatie van Netbeheer Nederland over de privacy en security-eisen die aan de energiemeters worden gesteld. Daarin staat (Kleinverbruiker = consumenten en mkb):

G6.3.0 Beheersmaatregel
De netbeheerder plaatst geen Slimme Meter bij de kleinverbruiker, indien “de Kleinverbruiker voorafgaand aan de plaatsing van de Meter aan de Netbeheerder te kennen heeft gegeven bezwaar te hebben tegen de plaatsing van de Meter, wordt geen Meter geplaatst.”
Daarbij geldt wel dat een “Meter die reeds geplaatst is, kan niet meer op verzoek van de Kleinverbruiker worden vervangen door een niet op afstand uitleesbare meter.”

Iedere weigeraar die verhuist, heeft een zeer grote kans op een nieuwe woning met slimme meter…

Die slimme meter kan altijd op afstand worden uitgelezen, zoals een van de commentatoren op het security.nl artikel [1] meldt:

Het zogenaamd “administratief uit” zetten van een slimme meter betekent niet dat de meterstanden niet automatisch worden doorgegeven. Het betekent slechts dat de doorgegeven standen niet worden gebruikt voor het opstellen van de stroomrekening; daarvoor moet je dan zelf je meterstanden doorgeven.
Een slimme meter die administratief uit staat kan en mag nog wel worden uitgelezen voor het zogenaamd “metrologisch beheer”, dat wil zeggen het beheer van de meter zelf. Er is een bepaalde dataset die daarbij mag worden uitgelezen, zoals bijvoorbeeld of er storingen zijn geweest, het modelnummer, de firmware versie en andere zaken. Ook het updaten van firmware is onderdeel van dit metrologisch beheer. De huidige meterstand is een van de parameters die hierbij mag worden uitgelezen. De netbeheerder mag zelf bepalen hoe vaak de meter wordt uitgelezen voor metrologisch beheer.
Een zorg van sommige mensen, om het argument “privacy” wat meer specifiek te maken, is dat met een slimme meter de netbeheerder op afstand aan het stroomverbruik kan zien wie thuis is en wie niet. Als een bepaalde aansluiting tijdens de zomermaanden al meerdere dagen op rij weinig stroom gebruikt, dan kan je met enige zekerheid vaststellen dat die mensen op vakantie zijn. Gezien hoe berichten over hacks, datalekken,en misbruik van gegevens door medewerkers van organisaties (zelfs bij bijvoorbeeld de politie) letterlijk dagelijkse kost is vind ik niet dat je zomaar kan zeggen dat je hier zorgen over maken een onzinargument is.

Een ander [2] meldt dat in de internetconsultatie over de leegstandswet wordt voorgesteld dat gemeenten het energieverbruik mogen opvragen bij een netbeheerder om te kunnen controleren dat een pand daadwerkelijk leeg staat. Dus function creep.

 

Noten:

[1] Reinder, 15 augustus om 12:41 uur.
[2] Erik van Straten, 17 augustus, 01:14 uur: “Elk digitaal monitoringsysteem betekent een hellend vlak; we zien dat keer op keer.

 

 

Aanvulling 24 januari 2026
Op 14 januari zijn vragen uit de Tweede Kamer beantwoord over onderdelen van slimme meters uit China, hierna de eerste drie vragen en de antwoorden:

Vraag 1 Bent u bekend met de berichtgeving dat netbeheerders circa vier miljoen slimme meters gaan inkopen bij Chinese leveranciers? Zo ja, wat is uw oordeel hierover?

Antwoord Ja, ik ben bekend met deze berichtgeving. De berichtgeving gaat over de meetmodule, een onderdeel van de slimme meter dat alleen het elektriciteitsverbruik op digitale wijze meet. Deze meetmodule introduceert daarmee geen risico voor de leveringszekerheid van energie.
De verzending en de versleuteling van data naar de netbeheerders en de communicatie met andere apparaten loopt niet via deze meetmodule. De meetmodule bevat ook geen schakelaar en kan niet op afstand worden uitgeschakeld waardoor er geen effect is op de beschikbaarheid van energie. De leveranciers van het betreffende onderdeel en andere niet-geautoriseerde partijen kunnen niet meelezen met de data van de nieuwe generatie slimme meter. De veiligheid van de data wordt door de netbeheerders gewaarborgd door middel van encryptie en autorisaties. In de beantwoording van vraag 7, 8, 9 en 10 wordt dataveiligheid nader verdiept. Het kabinet is tegen deze achtergrond van oordeel dat de betreffende inkoop geen ontoelaatbaar risico vormt voor Nederlandse consumenten.

Vraag 2 Welke afwegingen zijn gemaakt over de economische afhankelijkheid van China bij de keuze voor deze leveranciers?
Vraag 3 Is onderzocht of voldoende capaciteit bestaat bij Europese of Nederlandse producenten om deze meters te leveren? Zo ja, wat zijn de uitkomsten?

Antwoord 2 en 3 Betrouwbare waardeketens voor vitale energie-infrastructuur zijn essentieel voor het waarborgen van de leveringszekerheid en onze nationale veiligheid. Leveringszekerheid in de product waardeketen is één van de onderdelen van de risicoanalyse die is uitgevoerd door de netbeheerders. Om risico’s ten aanzien van de leveringszekerheid te mitigeren, is onder andere besloten voor elke hardware component in de slimme meter voor twee verschillende leveranciers te kiezen. Eén van de twee leveranciers dient afkomstig te zijn uit een land dat partij is bij de multilaterale Overeenkomst inzake overheidsopdrachten (Government Procurement Agreement – GPA). Deze overeenkomst beoogt wederzijdse openstelling van overheidsopdrachten tussen deelnemende landen op basis van transparantie, non-discriminatie en rechtszekerheid. De Europese Unie onderhoudt met deze GPA-partijen structurele en wederkerige handelsrelaties die zijn gebaseerd op internationale afspraken, hetgeen bijdraagt aan een betrouwbare samenwerking binnen de publieke aanbestedingen.
In dit geval betekent dit dat de meetmodule die Kaifa Technology levert, ook wordt geleverd door het Franse Sagemcom. Indien noodzakelijk kunnen de netbeheerders een beroep doen op de Franse leverancier om alle leveringen over te nemen en de dienstverlening te continueren. Dit houdt in dat, indien één van de partijen niet in staat is om te leveren, de andere partij over voldoende capaciteit beschikt om de levering tot 100% te continueren. Hierdoor is de leveringszekerheid van dit onderdeel geborgd. Voor dit leveranciersmodel is ook gekozen om de Europese productie van meetmodules te versterken en beschikbaar te houden.
Voor de verschillende onderdelen van het systeem is een uitgebreide marktconsultatie gedaan. Voor de componenten die niet als risicovol beschouwd zijn, is gekozen voor maximale concurrentie om de maatschappelijke kosten zo laag mogelijk te houden.

Er worden ook algemene cybersecurity vragen gesteld.

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , | Plaats een reactie

Lelieveldt over het verband tussen SBI-codes en de witwasbestrijding | bancair sleepnet

Geplaatst op 15 oktober 2025 door Ellen Timmer

Simon Lelieveldt publiceerde het artikel De SBI-code TMNL leert ons hoe NL banken de illegale massamonitoring juridisch dachten wit te kunnen wassen!
Daarin legt hij hij uit dat de bv van de banken, Transactie Monitoring Nederland (TMNL), die alle transacties van alle Nederlanders moet analyseren (bancair sleepnet) aanvankelijk de SBI-code ‘Opsporing‘ had, terwijl de SBI-code in 2022 ‘Natuurwetenschappelijk onderzoek en experimentele ontwikkeling‘ en ‘Overige diensten op het gebied van informatietechnologie‘ is geworden.

Uit het artikel blijkt TMNL nauw met TNO samenwerkt [1] en dat de kleine bank Triodos deel uitmaakt van TMNL omdat zij als kleine bank niet de mogelijkheden heeft die de grootbanken wel hebben. Lelieveldt verwijst naar een paper van advocaten van het kantoor van de landsadvocaat over transactiemonitoring [2].

Lelieveldt  besluit met een tirade tegen het sleepnet:

Tja, deze enorm lelijke juridische steenpuist moet nog steeds behandeld worden. Banken en overheid blijven namelijk ontkennen dat ze de grootste data-heist en Stasi-surveillance van deze eeuw over alle Europese inbetalers aan ING, ABN AMRO, Rabobank, Volksbank en Triodos hebben uitgestort. Pogingen van Human Rights in Finance om hier een nationaal excuus te bewerkstelligen worden herhaald terzijde gelegd door DNB, Financiën en ook de banken hoor je niet.

Dan moet de AP handelen en HRiF.EU heeft de AP daartoe bij de rechter aangespoord. In vervolg daarop kwam het bericht dat de besluitvorming per eind september en uiterlijk eind oktober 2025 hierover bericht gaat geven. Dat kan niet anders dan handhaving zijn, maar aangezien AP blijkens de Woo-stukken enorm onder druk is gezet door Financiën zou er wel eens een heel softe berisping kunnen komen.

Hoe dan ook. Ambachtelijk kijken naar de SBI code helpt inderdaad prima om witwassen te ontdekken.

Data-witwassen in dit geval.

 

 

Noten:

[1] “Het is geen geheim dat TMNL innig verweven was met TNO en dat sprake is van MultiPartyComputation (MPC) voor AML-doeleinden. Dat lezen we terug op deze pagina van TNO zelf.
[2] Juridische aspecten van de inzet van Secure Multi-Party Computation (MPC) door Maxime Hanhart en Tim Gillhaus. Beide auteurs zijn privacy specialisten.

Geplaatst in Bankrekening krijgen en behouden, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , , , , , | Plaats een reactie

AI-chatbots bij klantenservice zijn mislukt | ACM en AP verzoeken om verbetering

Geplaatst op 14 oktober 2025 door Ellen Timmer

Hoewel de IT-marketeers ons willen doen geloven dat artificial intelligence (AI) een oplossing is voor alle kwalen, is het in werkelijkheid nog lang niet zo ver. De Autoriteit Consument & Markt (ACM) en Autoriteit Persoonsgegevens (AP) maakten bekend dat de AI-chatbots die voor klantenservice worden ingezet zeer gebrekkig zijn, zodat er maatregelen nodig zijn.

De toezichthouders publiceerden een opinie (pdf) over inzet AI-chatbots bij klantenservice, zo schrijft de ACM in de aankondiging:

Opinie ACM en AP over inzet AI-chatbots bij klantenservice
De Autoriteit Consument & Markt (ACM) en Autoriteit Persoonsgegevens pleiten in een gezamenlijke opinie voor toegang tot menselijk contact en transparantie bij inzet van AI-chatbots bij klantenservice.
Veel organisaties innoveren en gebruiken steeds vaker chatbots voor contact met gebruikers. Dit brengt vooruitgang, maar vraagt ook om alertheid om problemen te voorkomen. Organisaties moeten er daarom voor zorgen dat er in aanvulling op een chatbot een mogelijkheid is voor menselijk contact, ze moeten regie houden over de informatie die een chatbot verstrekt, en zorgen dat gebruikers weten dat ze met een AI-systeem communiceren.

Geplaatst in ICT, privacy, e-commerce | Tags: , , , , , | 1 reactie