Wetsvoorstel verbod antidemocratische organisaties aangenomen door Tweede Kamer

Geplaatst op 22 oktober 2020 door Ellen Timmer

De rijksoverheid liet op 14 oktober weten dat het wetsvoorstel verbod antidemocratische organisaties is aangenomen door Tweede Kamer:

Wetsvoorstel verbod antidemocratische organisaties aangenomen door Tweede Kamer
Nieuwsbericht | 14-10-2020 | 09:00

Op het moment dat radicale of extremistische organisaties de samenleving ernstig bedreigen of de rechtsorde omver willen werpen, moeten we snel kunnen ingrijpen door zulke organisaties door de rechter direct te laten verbieden. Nu kost dat soms jaren procederen en dat gaat straks sneller en effectiever. Het wetsvoorstel van minister Dekker (Rechtsbescherming) dat dit mogelijk maakt, is aangenomen door de Tweede Kamer. Dat is belangrijk, want bedreigingen van deze organisaties zijn de afgelopen jaren toegenomen.

Minister Dekker:
“We moeten een duidelijke grens trekken als vrijheden door radicale of extremistische organisaties misbruikt worden om onze rechtsstaat en democratische waarden aan te tasten. Tolerant zijn tegen intolerantie kunnen we ons simpelweg niet veroorloven. We maken het daarom mogelijk om sneller en effectiever in te grijpen tegen zulke organisaties als het nodig is, waar zoiets nu nog jarenlange procedures vergt.”

Verlichting bewijs
Om effectiever de strijd tegen antidemocratische organisaties aan te gaan, maakt de wet concreter wat in Nederland in strijd is, of kan zijn, met de openbare orde. Officieren van justitie kunnen daardoor eenvoudiger dan nu het geval is, bewijzen dat een organisatie moet worden verboden, bijvoorbeeld omdat deze aanzet tot haat en geweld of een bedreiging vormt voor de nationale veiligheid. En de rechter krijgt meer houvast als hij een beslissing moet nemen over zo’n verzoek van het Openbaar Ministerie. Zo maken we het makkelijker om organisaties die onze samenleving dreigen te ontwrichten te verbieden en ontbinden.

Bestuursverbod
In de bestaande wetgeving ligt de nadruk alleen op organisaties, waarbij we individuen niet op de korrel kunnen nemen. Dit gaat veranderen. Leidinggevenden van verboden organisaties krijgen in principe een bestuursverbod van drie jaar of meer. Dit voorkomt dat zij ongehinderd door kunnen gaan met hun antidemocratische activiteiten in een andere organisatie. Ook kan de rechter het bevel geven tijdens de procedure activiteiten van een organisatie stop te zetten, waarbij het strafbaar wordt als je zo’n verbod negeert. Zo voorkomt het wetsvoorstel dat ongewenste activiteiten binnen een organisatie worden voortgezet totdat de verbodenverklaring en ontbinding onherroepelijk zijn.

Verdubbeling straf
Wie na een definitief verbod toch nog doorgaat, kan straks een gevangenisstraf van twee jaar krijgen. Nu is dat nog één jaar.

 

Meer informatie:

  • Naam wetsvoorstel: Wijziging van Boek 2 van het Burgerlijk Wetboek ter verruiming van de mogelijkheden tot het verbieden van rechtspersonen: dossier overheid.nl
  • Wetsvoorstel zoals aan de Eerste Kamer is voorgelegd.
Geplaatst in Rechtspersonenrecht, Strafrecht | Tags: | 2 reacties

Chovanec | Belgisch politiegeweld onderzocht door commissie Europees Parlement

Geplaatst op 21 oktober 2020 door Ellen Timmer

Politiegeweld is niet alleen iets voor de Verenigde Staten en richt zich niet alleen tegen zwarte mensen. Dat geweld kan ook om de hoek plaats vinden, bijvoorbeeld in België. In Nederland is het minder bekend, maar in februari 2018 is op de luchthaven van Charleroi een man, Chovanec, overleden door hardhandig optreden van de politie. In augustus jl. zijn schokkende filmbeelden openbaar geworden. VRT schrijft:

Enkele agenten proberen de man in bedwang te houden, hij krijgt ook een deken over zijn hoofd, en één inspecteur zit 16 minuten lang op de man. Je ziet een andere agente die een Hitlergroet brengt, er worden grapjes gemaakt. De man krijgt een kalmeringsmiddel en er volgt een reanimatie, maar het slachtoffer raakt in coma en sterft.

Dit is heel wat anders dan de situaties waarbij politiemensen in penibele omstandigheden een foute beslissing nemen.

Aandacht Europees Parlement
Een subcommissie (DRFMG) van de mensenrechtencommissie LIBE van het Europees Parlement heeft besloten aandacht aan de Chovanec zaak te besteden. Enige Belgische autoriteiten zijn uitgenodigd voor overleg, maar hebben geweigerd deel te nemen. In het persbericht van 21 oktober schrijft DRFMG:

The dedicated monitoring group of the Civil Liberties Committee will look into the possible institutional and systemic aspects of the Chovanec case in Belgium.

As part of its work programme, the Democracy, Rule of Law and Fundamental Rights Monitoring Group (DRFMG) of the Civil Liberties Committee will hold an in camera exchange of views on the Chovanec case with the Belgian lawyer of the Chovanec family on Thursday, 22 October 2020.

The Executive Director of Europol, the President of the Belgian Conseil Supérieur de la Justice/Hoge Raad voor Justitie, and the Prosecutor General in Mons were invited to take part in this exchange of views but declined the invitation.

Sophie in ‘t Veld (Renew, NL), Chair of the DRFMG, explained that “this meeting was intended to focus on the institutional and systemic follow-up of such cases in the Belgian police and justice system, without entering into the specifics of the case under investigation in Belgium”.

The Group will continue its monitoring and will send written questions to the authorities instead, hoping for their reply.

 

Meer informatie:

Chovanec zaak:

Enige berichten in de media:

Meer artikelen zijn te vinden via een wikipedia bericht, Dood van Jozef Chovanec.

 

Europese instanties:

 

Aanvulling 30 oktober 2020
Belgische raad: geen doofpot in zaak van dood Slowaak in politiecel, NOS 29 oktober 2020.

Geplaatst in English - posts in English on this blog, Europa, Grondrechten | Tags: , , , , | Plaats een reactie

In de klem van FATCA

Geplaatst op 21 oktober 2020 door Ellen Timmer

Op dit blog volg ik FATCA en de Accidental Americans (algemene info, alle berichten). Een goede illustratie van de problemen is te vinden in de discussie tussen Simon Hania en europarlementariër Sophie in ’t Veld op twitter op 18 oktober jl.:

 

In plaatjesvorm:

 

Aanvulling 6 november 2020
Van de Nederlandse overheid hebben noch de banken, noch de Accidental Americans veel te verwachten, zo valt te lezen in de nota naar aanleiding van het verslag die in oktober bekend werd (kamerdossier 35572, nummer 17, Belastingplan 2021, MS Word, html, pdf). De Minister van Financiën schrijft:

De leden van de fractie van de VVD vragen het kabinet om zich in te leven in de Accidental Americans en de gevolgen van het niet hebben van een basisbetaalrekening en te komen tot een oplossing voor de Accidental Americans zodat zij niet zonder een basisbetaalrekening komen te zitten. Daarnaast vragen de leden aandacht voor de spagaat waar banken in zitten en naar de mogelijkheid van een wettelijke optie om de Nederlandse Accidental Americans te beschermen tegen de dreigementen vanuit de VS die banken ertoe aanzet bankrekeningen op te zeggen. Meer specifiek vragen de leden naar de mogelijkheid van een wettelijke optie die behoed dat banken de rekeningen van Accidental Americans opzeggen alleen vanwege het niet hebben van een US TIN.

De afgelopen jaren zijn mijn voorganger en ik in gesprek gegaan met de autoriteiten van de VS om een oplossing te vinden voor de problemen die Nederlanders met ook de Amerikaanse nationaliteit door de Amerikaanse FATCA-regelgeving ervaren. Ook in Europees verband zijn er verschillende stappen gezet. Zo heeft Nederland op 11 december 2019 samen met Frankrijk het initiatief genomen om in EU-verband een brief te sturen naar het Department of the Treasury waarin de problematiek voor Accidental Americans nogmaals is aangekaart.

De VS heeft volgend op de gesprekken gedurende de afgelopen jaren een aantal acties ondernomen. Zo is een versimpelde afstandsprocedure ingericht en heeft de VS herhaaldelijk bevestigd dat het onnodig is om bankrekeningen te sluiten bij het enkel ontbreken van een US TIN of Certificate of Loss of Nationality (CLN). De nadere toelichting die de VS heeft gegeven is meegenomen in de update van de leidraad FATCA/CRS [77] en de Nederlandse banken zijn hiervan op de hoogte. Toch verlangen de banken nóg meer duidelijkheid over het intreden van Amerikaanse sancties ten gevolge van missende US TINs. Het standpunt van de banken is op initiatief van Nederland in EU verband onder de aandacht gebracht bij de VS. In reactie hierop heeft de VS de EU-lidstaten en de banken uitgenodigd om in gesprek te gaan over de gevallen waar nog een TIN of CLN mist en over de inspanning die de Amerikaanse autoriteiten in dit kader van banken verlangen. Ik zal in EU verband aandringen op het zo snel mogelijk ingaan op deze uitnodiging.

Ik zie geen aanleiding voor een wettelijke regeling om te voorkomen dat banken rekeningen opzeggen. Het is in beginsel aan banken zelf om te bepalen welke klantengroepen zij willen bedienen. In dat kader mogen banken zelf bepalen of zij een betaalrekening met een bepaalde rekeninghouder al dan niet willen voortzetten, mits banken zich daarbij houden aan de geldende wet- en regelgeving. Zo moeten banken aan de ene kant voldoen aan de Amerikaanse FATCA-wetgeving. Aan de andere kant moeten banken voldoen aan de geldende Nederlandse regelgeving omtrent (basis)betaalrekeningen (op grond van geïmplementeerde Europese richtlijnen). In dat kader merk ik op dat, zoals ook aangegeven in eerdere brieven aan uw Kamer, het enkel ontbreken van een US TIN geen reden is om een bankrekening te weigeren of te beëindigen wegens het niet voldoen aan de eisen van de Wwft. Indien beëindiging van de rekening toch aan de orde is, bijvoorbeeld omdat de bank een risico op witwassen aanwezig acht wegens aanvullende factoren naast het ontbreken van een US TIN, kan de betrokkene een aanvraag om een basisbetaalrekening indienen. Als de betrokken cliënt het niet eens is met het oordeel van de bank om de dienstverlening te beëindigen kan hij hiertegen een klacht indienen bij de bank en vervolgens bij het Kifid dan wel de kwestie voorleggen aan de rechter.

Zoals ik eerder heb aangegeven vind ik het onnodig dat banken rekeningen sluiten met als enige reden dat er geen TIN is verkregen. Ik snap ook dat het grote gevolgen kan hebben als je zonder een bankrekening komt te zitten. Ik vind het belangrijk dat, ter voorkoming van sociale en financiële uitsluiting, in beginsel iedereen toegang heeft tot een betaalrekening. Om deze reden is het recht op een basisbetaalrekening ook wettelijk vastgelegd in de Wet op het financieel toezicht.

In mijn brief van 6 oktober [78] heb ik in reactie op eerdere vragen van het lid Lodders (VVD) aangegeven dat Accidental Americans de mogelijkheid hebben om een basisbetaalrekening aan te vragen als zij niet meer beschikken over een andere betaalrekening. Ik heb daarbij aangegeven dat ook bij een basisbetaalrekening voldaan moet worden aan de eisen gesteld bij of krachtens de Wet ter voorkoming van witwassen en financiering van terrorisme (Wwft). Daarnaast is het Convenant inzake een Pakket Primaire Betaaldiensten (het Convenant Basisbankrekening) van toepassing op consumenten. Op grond van het Convenant Basisbetaalrekening kan een bank, als bijvoorbeeld wordt overwogen een basisbetaalrekening te weigeren wegens het niet voldoen aan de eisen van de Wwft, verplicht stellen dat de consument samen met een erkende hulpverleningsinstantie de aanvraag voor een basisbetaalrekening indient onder het Convenant Basisbankrekening. Ook kan de bank verplicht stellen dat de basisbetaalrekening door een erkende hulpverleningsinstantie wordt beheerd. Het is aan de consument om een erkende hulpverleningsinstantie te vinden die bereid is om samen een aanvraag voor een basisbetaalrekening in te dienen. Of het risico op het plegen van financiële delicten in een concreet geval voldoende gemitigeerd is door het inschakelen van een hulpverleningsinstantie (conform het Convenant Basisbankrekening), is in de eerste plaats ter beoordeling van de betreffende bank.

[Noten]

[77] https://zoek.officielebekendmakingen.nl/trb-2019-153.html
[78] Beantwoording Kamervragen over het bericht ‘Kifid: bank mag betaalrekening beëindigen als consument geen US TIN of CLN wil aanvragen’ en het bericht ‘Wijziging annex II FATCA-verdrag’.

Geplaatst in Bestuursrecht, Europa, Financieel recht, onder meer Wft, Wtt | Tags: , , , , , | Plaats een reactie

Hoe telco’s sim-swapping mogelijk maken

Geplaatst op 21 oktober 2020 door Ellen Timmer

Het is verbazingwekkend dat mobiele telefoons een centrale rol spelen en dat telecombedrijven criminelen faciliteren door sim-swapping makkelijk te maken. Vorig jaar schreef ik er over en nog steeds is er niets veranderd.

Uit een bericht op security.nl, Europol maakt zich zorgen over sim-swapping en DNS over HTTPS, blijkt dat de problemen groeien en de overheden de telecombedrijven nog steeds niet hard aanpakken. Het artikel baseert zich op de Internet Organised Crime Threat Assessment (IOCTA), die door Europol is uitgebracht.

Geplaatst in Fraude, witwasbestrijding, Wwft, Strafrecht | Tags: , , , , , , | Plaats een reactie

Veilig inloggen bij de overheid (en elders) | DigiD

Geplaatst op 20 oktober 2020 door Ellen Timmer

In de kamerbrief van het Ministerie BZK over het onderzoek Toegang Digitale Overheid wordt verslag gedaan van het veiliger worden van de toegang van burgers tot de systemen van de overheid. Er staat een mooi plaatje in met de betrouwbaarheidsniveaus waarop nu door mensen wordt ingelogd.

Op het plaatje, dat ik hier onder heb overgenomen, is de blauwe lijn het zeer onveilige inlognaam + wachtwoord (als ‘DigiD basis’ aangeduid) en oranje is tweefactor-authenticatie (inlognaam + wachtwoord + sms-code of DigiD app). Het wordt pas veilig bij de gele lijn, ‘DigiD Substantieel’.

 

Helaas wordt het onveilige ‘DigiD basis’ niet onmiddellijk afgeschaft, wat eigenlijk wel zou moeten. Dat men toewerkt naar het betrouwbaarheidsniveau Substantieel is een positieve ontwikkeling.

Veilig inloggen elders
Buiten de overheid is onveilig inloggen eveneens een groot probleem. Voor burgers belangrijke ondernemingen, zoals verzekeringsmaatschappijen, pensioeninstellingen en energiebedrijven werken veelal met het onveilige systeem van inlognaam+wachtwoord. Ook maken dit soort ondernemingen gebruik van e-mail als communicatiemiddel, waarbij is te hopen dat er geen persoonsgegevens in die e-mails worden gezet (e-mail is zeer onveilig). Van tweefactor-authenticatie hebben velen nog nooit gehoord en als er al een tweede factor is, is dat de onveilige sms. Het is hoog tijd dat ondernemingen verplicht worden om veilige inlog- en communicatiemethoden aan te bieden. Zo ver is het nog lang niet.

Overigens las ik dat DigiD Substantieel en Hoog niet buiten de overheid en enkele aangewezen sectoren (zorg) gebruikt kunnen worden.

 

Meer informatie:

Kamerbrief over rapportage Onderzoek Toegang Digitale Overheid plus bijlagen (pagina):

Artikelen op dit blog:

 

Aanvulling 5 januari 2021
‘Nieuwe chip in id-kaart biedt veiligere inlogmogelijkheid DigiD’, Radar 4 januari 2021.

Aanvulling 1 april 2021
Het lukt niet helemaal met het hogere niveau, lees op security.nl Storing op chip Nederlandse identiteitskaart na activeren inlogfunctie.

 

Aanvulling 7 mei 2021
Lees over het onderwerp Security.NL spreekt met Logius over beveiligingskeuzes voor DigiD-app. In het artikel staat informatie over de verschillende beveiligingsniveaus en valt te lezen Logius het inloggen met de DigiD-app wil bevorderen. Er worden interessante vragen aan Logius gesteld, zoals:

  • Waarom ondersteunt DigiD geen generieke OTP (one-time password)-generator / authenticator zoals veel andere websites/diensten doen?
  • De DigiD-app maakt gebruik van een pincode van vijf cijfers die niet kan worden gewijzigd in bijvoorbeeld een passphrase. Waarom is hiervoor gekozen?
  • De pincode wordt “gemaskeerd” in de DigiD-backend opgeslagen. Wat wordt precies met gemaskeerd bedoeld? Waarom is het nodig de pincode in de backend op te slaan en kan de app niet volledig vanaf de smartphone worden gebruikt (zoals bij een authenticator)?
  • De DigiD-apps zijn alleen in de appstores van Apple, Google en Microsoft beschikbaar. Gebruikers moeten hiervoor een account bij deze partijen hebben. Is er een reden waarom ervoor dit model is gekozen en waarom biedt Logius de apps niet zelf aan?
  • Vorig jaar werd bekend dat de overheid inloggen via DigiD met sms-code wil terugdringen ten gunste van de DigiD-app. Wat zijn de opties voor mensen zonder smartphone of mensen die de app niet kunnen/willen installeren?
  • Veel Androidtoestellen worden niet meer met beveiligingsupdates ondersteund. Hoe houdt Logius hier rekening mee?
  • In hoeverre is er in het dreigingsmodel rekening gehouden met een gecompromitteerd systeem van de gebruiker?

 

Aanvulling 15 juli 2022
Tot 22 augustus 2022 loopt de internetconsultatie ‘Regeling voorzieningen WDO‘, die voorschriften bevat voor het gebruik van DigiD, DigiD Machtigen en MijnOverheid. Volgens de aankondiging zou de voorgestelde wijziging weinig veranderingen met zich meebrengen en een actualisering van de huidige Regeling voorzieningen GDI (tekst 1 oktober 2020) omvatten.

Ik heb nog niet kunnen vinden of private authenticatiediensten aanbieders op integriteit worden getoetst. Dat volgt in ieder geval niet uit de huidige Regeling voorzieningen GDI.

Geplaatst in Bestuursrecht, ICT, privacy, e-commerce | Tags: , , , , , , | 1 reactie

Schaduwtrust en het nieuwste facilitator-project van AMLC | Wwft

Geplaatst op 20 oktober 2020 door Ellen Timmer

In de nieuwsbrief van AMLC van deze maand komt de trustkantorensector aan bod onder het cryptische kopje ‘No Shelter‘. Vreemd genoeg denken de auteurs van de passage over ‘No Shelter‘ dat er al sprake is van een ‘schaduwtrustdienst’ als een ondernemer zelf een adres en een bestuurder voor een nieuw opgerichte rechtspersoon regelt. Wat mij betreft geeft dat aan dat de mensen van de opsporing onvoldoende kennis van de bedrijfspraktijk hebben. Het is voor ondernemingen heel gewoon om niet te werken met een trustkantoor als statutair directeur en als leverancier van domicilie (want het werkt altijd kostenverhogend). Het zou beter zijn als AMLC, zonder gedoe over ‘schaduwtrust’, energie zou steken in het zoeken naar de kenmerken van malafide rechtspersonen en naar manieren om dienstverleners te helpen bij het voorkomen van criminele betrokkenheid.

AMLC zegt succes te hebben geboekt met het opsporen van risicovolle adressen voor schaduwtrustdiensten. Ik ben benieuwd hoe die risicovolle adressen zijn geselecteerd en op welke manier men de 30% vermoedelijke illegale trustdienstverlening heeft vastgesteld. Het zou me niets verbazen als er veel gewone criminele bv’tjes tussen zitten.

Facilitatoren
Het bericht wordt interessanter als de auteurs melden dat men heeft bedacht dat het ‘schaduwtrustkantoor’ maar één van de ‘facilitators‘ van criminelen is. Het doel van het project wordt nu verbreed naar alle dienstverleners in het bedrijfsleven die bewust of onbewust diensten aan criminelen leveren: accountants, accountants, administratiekantoren, advocaten, banken, belastingadviseurs, domicilieverleners, notarissen en trustkantoren. Oftewel: men gaat zich verdiepen in de belangrijkste groep van Wwft-plichtigen buiten de banken.

Tip voor het AMLC: juist omdat deze dienstverleners onbewust en bewust diensten aan criminelen kunnen verlenen zijn ze Wwft- en Wtt2018-plichtig (waarvan overigens de vraag is hoeveel zin het heeft). Het is niet verstandig deze dienstverleners te onderzoeken, beter is om na te gaan hoe juridische systemen en praktische systemen beter ingericht kunnen worden om betrokkenheid bij criminaliteit te voorkomen.

Het project No Shelter lijkt mij weggegooid geld.

De plannen van AMLC getuigen van een simplistisch witwasbestrijdingsdenken gebaseerd op onvoldoende kennis over de private sector. Zo staat op de AMLC-site een artikel van Crijns van voorjaar 2019, dat over juristen gaat en een groot aantal ernstige fouten bevat, onder meer inzake de voor juristen respectievelijk advocaten geldende gedragsregels. AMLC is daar op geattendeerd en laat het artikel toch staan. Dat geeft te denken over de kwaliteit.

Ik blijf roepen in de woestijn.

Kenmerkend van het ‘facilator’-concept van de overheid is dat bewuste criminele betrokkenheid op één hoop wordt gegooid met gewone dienstverlening. Over dit malafide concept schreef ik diverse artikelen, onder meer:

Lees de artikelen op dit blog over andere thema’s in de privatisering van de misdaadbestrijding (‘witwasbestrijding’). Dit bericht verscheen ook op de site van Compliance Platform Trustkantoren.

 

Aanvulling 23 november 2020
Vandaag hoorde ik de heer Wiebes, voormalig bewindspersoon op Financiën op de radio, waarschijnlijk was het een opname van het verhoor inzake de toeslagenaffaire. Hij sprak over de ‘facilitators‘ die misbruik maakten van de kindertoeslagenregeling, en definieerde hen als ‘institutionele booswichten’.

Het geeft aan dat ‘onbewuste’ facilitators in de beleving van de mensen van het ministerie van Financiën niet onschuldig zijn. Iedereen die een rol heeft is facilitator en dus een booswicht, ook degenen die dat niet bewust doen, want die hebben niet goed genoeg opgelet.

Ik blijf het malafide vinden.

Geplaatst in Dienstverlening - juridisch financieel [advocaten, accountants, belastingadviseurs e.d.], Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, Trustkantoren | Tags: , , , , | Plaats een reactie

Wwft-phishing met heridentificatie | Wwft, Aegon

Geplaatst op 20 oktober 2020 door Ellen Timmer

Criminelen misbruiken graag het Wwft-cliëntenonderzoek en de identificatieplicht. Ik kreeg daarvan een mooi staaltje binnen, op naam van Aegon. De e-mail luidde:

Van: Aegon
Datum: 19 oktober 2020 om*** CEST
Aan: ***
Onderwerp: Identificeren

Geachte klant,

U heeft bij ons één of meerdere Aegon rekeningen. Daar zijn wij blij mee. Om uw rekening(en) veilig te kunnen blijven gebruiken, vragen wij u – vanwege vernieuwde wet- en regelgeving – zich opnieuw te identificeren. Wilt u dit vóór 20 oktober 2020 doen? Als wij niet op tijd uw juiste gegevens hebben, moeten wij namelijk uw rekening(en) beëindigen. En dat willen wij naturlijk liever niet.

Klik hier om de online identificatie te starten. Dit neemt maximaal 5 minuten in beslag.

Alvast bedankt voor uw medewerking.

Met vriendelijke groet,
Aegon.

 

De oplettende lezer zou al hebben gezien dat onder de afzender ‘Aegon‘ geen Aegon e-mail adres zit. En in de tekst zit een spelfout (‘naturlijk’) en de termijn is onwaarschijnlijk kort. Bij veel phishing is het afzendadres wel echt (bijvoorbeeld omdat de mailbox gehackt is).

Het venijnige zit in de internetlink onder ‘Klik hier‘: . Die link begint wel met ‘aegon.nl’ maar is een .xyz domein. Er verschijnt de volgende tekst:

wat er niet vertrouwenwekkend uit ziet.

 

Meld fraude
Dit lijkt me Wwft-phishing, het is aan te bevelen een melding te doen bij de financiële instelling (zie deze pagina) en bij de Fraudehelpdesk.

Financiële instellingen: stop met e-mail
Tip voor financiële instellingen: stop met het gebruik van e-mail voor vertrouwelijke communicatie en stel een beveiligd communicatiekanaal beschikbaar voor klanten en relaties. Nu wisselen banken nog per e-mail vertrouwelijke klantgegevens uit, wat in het licht van onveiligheid van e-mail zeer onverantwoord is.

 

Over de onveiligheid van e-mail is hier meer te lezen. Berichten op dit blog over Wwft-phishing staan op deze locatie te vinden.

 

Aanvulling 1 december 2020
Het wordt steeds doller bij Aegon/Knab, lees bij Radar: Waarom maakt Aegon of Knab 1 eurocent over op mijn rekening? Overigens zal een klant niet reageren op de vraag “Geef uw adres- en contactgegevens voor 24 december 2020 door via onze Servicedesk“, want die gegevens hebben beide banken al. De banken willen een nieuw kopie-ID (maar vertellen niet waarom) en willen een Wwft-cliëntenonderzoek uitvoeren, lees maar na op https://www.aegon.nl/particulier/klantenservice/id.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce | Tags: , , , , , , | Plaats een reactie

Advies AFM inzake identificatie bij financiële instellingen

Geplaatst op 19 oktober 2020 door Ellen Timmer

Onlangs publiceerde Autoriteit Financiële Markten informatie over identificatie bij financiële ondernemingen. Het bevat nuttige tips, onder meer de tip om tekst op de kopie van een identiteitsbewijs te zetten:

Om misbruik van identiteitsgegevens te voorkomen, is het verstandig om op de kopie van een identiteitsbewijs te vermelden dat het een kopie is, de datum waarop u de kopie afgeeft, voor welke onderneming de kopie en met welk doel de kopie is gemaakt.

Heel goed is dat gemeld wordt dat de Wwft niet voorschrijft dat een kopie van het identiteitsbewijs nodig is. Het is ook correct als bepaalde gegevens worden overgenomen, waar het bsn niet bijhoort (ten aanzien van bsn geldt een uitzondering voor banken).

Jammer is dat de AFM er niet op attendeert dat identificatie ook om privaatrechtelijke reden nodig is. Een financiële instelling die een overeenkomst sluit hoort er zeker van te zijn wie haar wederpartij is.

Vanwege alle heridentificatie-campagnes (die niet op de Wwft gebaseerd zijn), was het ook goed geweest als vermeld zou zijn dat identificatie maar één keer nodig is, voorafgaand aan het aangaan van de overeenkomst.

Opsturen kopie identiteitsbewijs mag niet van de Wwft
Zeer teleurstellend dat de AFM suggereert dat identificatie via e-mail mag plaats vinden (“maar bij anderen gaat het via e-mail“), terwijl e-mail een volstrekt onveilig communicatiemiddel is en ook een ander een kopie van een identiteitsbewijs kan opsturen. De AFM zou moeten weten dat de Wwft verplicht tot identificatie (verificatie van de identiteit) met voldoende zekerheid, wat betekent dat de Wwft-plichtige (de financiële instelling) het originele identiteitsbewijs dient in te zien of een alternatieve betrouwbare methode moet inzetten. Lees over online identificatie mijn eerdere artikel.

Tot slot
Misschien moet de AFM nog eens bij de Autoriteit Persoonsgegevens langs als het om het kopietje paspoort gaat, en een bezoek aan het Ministerie van Financiën is nuttig om de Wwft-regels rond verificatie van de identiteit nog eens op te frissen.

 

Meer informatie:

De complete tekst van de informatie van AFM luidt:

Hoe moet u zich identificeren bij een financiële onderneming?
De AFM ontvangt regelmatig vragen over de wettelijke regels om witwassen en terrorismefinanciering te voorkomen. Consumenten willen vooral weten op welke manier zij zich moeten identificeren bij financiële ondernemingen. Kan dit alleen met een paspoort of is een rijbewijs ook toegestaan? Verder blijkt dat zij ongerust zijn bij het verstrekken van gegevens via app of e-mail. We lichten de wettelijke regels daarom toe, vooral over de identificatieplicht en het vastleggen van privacygevoelige gegevens.

In de wet is de bestrijding van witwassen en terrorismefinanciering geregeld. Witwassen houdt in dat illegaal verkregen geld legaal wordt gemaakt, zodat de illegale herkomst niet meer zichtbaar is. Er is sprake van terrorismefinanciering als geld wordt gebruikt om terroristische activiteiten mogelijk te maken. In Nederland houdt de AFM toezicht op de naleving van de wettelijke regels bij, onder meer, beleggingsondernemingen en financieel dienstverleners die bemiddelen in levensverzekeringen.

Onderneming moet cliëntenonderzoek uitvoeren
In de wet staat dat een onderneming een cliëntenonderzoek moet uitvoeren voordat zij een zakelijke relatie met die cliënt aangaat of een transactie uitvoert. Dat moet een beleggingsonderneming bijvoorbeeld doen voordat zij een beleggersrekening opent voor een cliënt. Het doel: ervoor zorgen dat een onderneming geen zakelijke relatie aangaat of transactie uitvoert die hun integriteit en die van het financiële stelsel kan schaden.

Identiteit controleren
Een cliëntenonderzoek bestaat onder meer uit het identificeren van de cliënt. Maar een onderneming moet ook bevestigen dat de opgegeven identiteit en werkelijke identiteit hetzelfde zijn. Dat betekent dat de onderneming de gegevens die een cliënt verstrekt (bijvoorbeeld op een online inschrijfformulier), moet controleren.

Om welke documenten mag een onderneming vragen?
Welke identificatiedocumenten mag een onderneming daarvoor gebruiken? Bij een natuurlijk persoon (dus een mens van vlees en bloed) zijn dat: – een geldig paspoort, identiteitskaart of rijbewijs – een geldig rijbewijs uit een lidstaat – reisdocumenten voor vluchtelingen en vreemdelingen – vreemdelingendocumenten

Welke documenten mag een onderneming niet gebruiken?
Komt een document niet van een overheid of rechterlijke instantie of een andere betrouwbare en onafhankelijke bron? Denk aan een studentenpas of een werknemerspas. Dan wordt de wijze van identificatie vaak niet geverifieerd. Een financiële onderneming mag deze documenten daarom niet gebruiken om de identiteit van hun cliënten te controleren.

Meerdere opties, altijd zelfde regels
De AFM kan ondernemingen niet voorschrijven hoe zij de identiteit van klanten verifiëren. Sommige ondernemingen bieden de mogelijkheid om persoonlijk langs te komen op hun kantoor, maar bij anderen gaat het via e-mail of een app. Er zijn dus meerdere mogelijkheden, zolang de identificatie en verificatie daarvan volgens de regels verloopt.
Om misbruik van identiteitsgegevens te voorkomen, is het verstandig om op de kopie van een identiteitsbewijs te vermelden dat het een kopie is, de datum waarop u de kopie afgeeft, voor welke onderneming de kopie en met welk doel de kopie is gemaakt.

En hoe zit het met de privacy van de klant?
Een financiële onderneming moet de gegevens van haar cliënten goed beschermen. In Nederland ziet een andere toezichthouder daarop toe: de Autoriteit Persoonsgegevens (AP). De AP stelt dat een financiële onderneming ook een kopie van het gecontroleerde identiteitsdocument kan vastleggen. Maar dat hoeft niet. De onderneming kan ook alleen bepaalde gegevens op het document overschrijven. Volgens de wet hoeven ondernemingen geen burgerservicenummer vast te leggen.

Wat mag een onderneming doen met de verstrekte persoonsgegevens?
In de wettelijke regels is rekening gehouden met de Europese privacywet, de Algemene Verordening Gegevensbescherming (AVG). In de AVG staat dat een onderneming de persoonsgegevens alleen mag gebruiken voor het doel waarvoor ze verstrekt zijn. Namelijk om te voorkomen dat het financiële stelsel wordt misbruikt voor witwassen en terrorismefinanciering.

Geplaatst in Financieel recht, onder meer Wft, Wtt, ICT, privacy, e-commerce | Tags: , , , , , , , | Plaats een reactie

Raadselachtige Wwft-berichten

Geplaatst op 19 oktober 2020 door Ellen Timmer

In de media staan regelmatig raadselachtige berichten over de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). Zo las ik in een accountancy magazine een merkwaardig bericht over het witwasonderzoek tegen ABN Amro.

Barbertje moet hangen
Daarin stond de opmerking dat er geen privépersonen werkzaam bij de bank strafrechtelijk vervolgd zullen worden, wat mij logisch lijkt want ik kan me niet voorstellen dat bestuurders of bankmedewerkers welbewust de antiwitwaswet (Wwft) niet naleven. Het publiek wil graag dat barbertje hangt, wat gebaseerd is op onkunde over de Wwft en ‘witwassen’.

Heridentificatie
Bijzonder is dat in het bericht staat dat DNB aan de bank zou hebben opgedragen “de identiteit van alle klanten opnieuw te controleren“. Ik heb geen idee wat de juridische basis is voor die opdracht (de Wwft schrijft geen heridentificatie voor). Ook praktisch lijkt het niet zinvol, omdat bij de meeste klanten geen reden is om aan hun identiteit te twijfelen.

Misschien wordt het misverstand veroorzaakt doordat banken het doen voorkomen dat het belangrijkste onderdeel van hun cliëntenonderzoek op grond van de Wwft is, dat zij de identiteit van hun cliënten verifiëren. Dat is niet juist, verificatie is een onbelangrijk onderdeel van het cliëntenonderzoek.

Herkomst van het geld
Vervolgens staat in het artikel dat “de bank de herkomst van het geld van alle klanten duidelijk op papier had“. Dus dan deed de bank het goed en is het merkwaardig dat de bank een boete in de orde van €400 miljoen zou  moeten betalen.

De witwasbestrijding is vol raadselen.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , | Plaats een reactie

Onderzoek naar datahandelaren in financiële persoonsinformatie | AVG, Wwft / Wft

Geplaatst op 18 oktober 2020 door Ellen Timmer

Terwijl de privacybeweging zich druk maakt over de geheime diensten en de asociale media (zoals Facebook en Google), opereert een groep datahandelaren in relatieve stilte. Dat zijn de handelaren in financiële gegevens van burgers en bedrijven, ook wel handelsinformatiebureaus genoemd. Hun activiteiten zijn bij de meeste mensen onbekend, terwijl het partijen zijn die met echte financiële gegevens werken. Zij leveren informatie aan financiële instellingen en diverse andere ondernemingen, zoals energiebedrijven, webwinkels en telefoonmaatschappijen.

Deze datahandelaren houden zich bezig met het leveren van kredietwaardigheidsinformatie aan bedrijven. Sommigen leveren witwasbestrijdingsinformatie zoals:

  • wie de uiteindelijk belanghebbende (ubo) van een entiteit (bijvoorbeeld besloten vennootschap, vennootschap onder firma) is;
  • of de cliënt of ubo een politiek prominente persoon (‘PEP’) is;
  • of mensen betrokken bij rechtspersonen en andere entiteiten mogelijk criminele verbindingen hebben.

Ook wordt gehandeld in ‘zwarte lijsten’ van onbetrouwbare burgers. Van enig toezicht op deze partijen is geen sprake.

Handelaren in kredietwaardigheidsinformatie
Over handelaren in kredietwaardigheidsinformatie zijn onlangs vragen van leden van de Tweede Kamer beantwoord. Uit de antwoorden blijkt dat er handelsinformatiebureaus en kredietwaardigheidsbeoordelaars zijn die zich niet aan de privacywet, de AVG, houden en dat de Autoriteit Persoonsgegevens onderzoek instelt.

Zwarte lijsten
Handelsinformatiebureaus leggen zwarte lijsten van onbetrouwbare burgers aan en leveren gegevens aan onder meer energiebedrijven. Een lid van de Tweede Kamer stelde vragen over deze praktijken, die voor zover het kamerlid bekend, nog steeds plaats vinden. De verantwoordelijk minister meldt dat ook hier onderzoek door de Autoriteit Persoonsgegevens plaats vindt, aangezien er aanwijzingen zijn dat de AVG niet wordt nageleefd. Ook de verplichtingen van incassoburaus en deurwaarders worden besproken.

Witwasbestrijdingsinformatie
Over de handel in witwasbestrijdingsinformatie zijn nog geen vragen gesteld.

Tot slot
De reden waarom datahandelaren de AVG niet naleven, is niet zo moeilijk te bedenken. Lees in dat verband het artikel bij privacy-organisatie noyb:  Address broker: GDPR-compliance “too burdensome”- refusal to provide information on data sources and recipients .

Dat is de reden waarom mensen die geregistreerd zijn bij handelaren in financiële persoonsgegevens nooit iets horen.

 

Meer informatie:

Antwoord op vragen inzake handelaars in kredietwaardigheidsinformatie (handelsinformatiebureaus):

Antwoorden van de minister voor Rechtsbescherming en de staatssecretaris van Sociale Zaken en Werkgelegenheid op schriftelijke vragen van de leden Van Nispen en Jasper van Dijk (beiden SP) over bedrijven die handelen in kredietgegevens van personen zonder hen daarover te informeren.
(ingezonden 15 september 2020, 2020Z16342)

Vraag 1
Heeft u kennisgenomen van de uitzending van Kassa waarin bleek dat bedrijven handel drijven met (krediet)data van personen, zonder hen daarvan op de hoogte te stellen? (1)

Antwoord op vraag 1
Ja, ik heb kennisgenomen van deze uitzending.

Vraag 2
Vindt u het wenselijk dat er bedrijven zijn, naast het Bureau Krediet Registratie, die data verzamelen van personen om zo een kredietscore aan iemand te geven?

Antwoord op vraag 2
Met enige regelmaat is er maatschappelijke discussie of bedrijven die data verwerken voor kredietscores voldoen aan de privacyregels. Burgers hebben er echt last van als er fouten worden gemaakt. Met een kredietscore beogen bedrijven inzicht te krijgen in hoeverre potentiële klanten, consumenten of bedrijven, aan hun betalingsverplichtingen kunnen voldoen. Met dergelijke onderzoeken kunnen bedrijven in kaart brengen welke risico’s er zijn verbonden aan het aangaan van een overeenkomst. Omdat sprake zal zijn van de verwerking van persoonsgegevens van consumenten is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Deze kredietscores moeten worden onderscheiden van de toets die bij het Bureau Krediet Registratie wordt uitgevoerd door kredietaanbieders in het kader van het voorkomen van overkreditering in de zin van de Wet op het financieel toezicht.

Vraag 3
Acht u het in lijn met de Algemene Verordening Gegevensbescherming (AVG) dat bedrijven persoonsgegevens verhandelen die de kredietwaardigheid van personen raakt, zonder de betrokkene over het verhandelen én de gebruikte data te informeren? Zo nee, hoe kan het dan dat de Autoriteit Persoonsgegevens de praktijken die in de uitzending van Kassa beschreven werden niet al eerder aan banden heeft gelegd?

Antwoord op vraag 3
Het uitgangspunt van de AVG is dat burgers controle over hun persoonsgegevens dienen te hebben. Persoonsgegevens dienen daarom te worden verwerkt op een manier die rechtmatig, behoorlijk en transparant is. [1] Concreet betekent dit dat betrokkenen op de hoogte dienen te worden gesteld op het moment dat hun persoonsgegevens worden verzameld onder meer welke gegevens worden verzameld, voor welk doel en met wie deze worden gedeeld. [2] Tevens dienen ze te worden gewezen op hun rechten, zoals het recht op inzage.

De Autoriteit Persoonsgegevens heeft laten weten dat ze momenteel onderzoek doet naar meerdere handelsinformatiebureaus, maar doet in beginsel geen uitspraak over lopende zaken.

Ik hecht eraan te benadrukken dat deze bedrijven in de eerste plaats zelf verantwoordelijk zijn voor het waarborgen van persoonsgegevens en in dit kader een verantwoordingsplicht hebben.

Als een consument twijfelt of een bedrijf volgens de regels werkt, kan hij of zij zich wenden tot het bedrijf. Verder kan een consument, indien het desbetreffende bedrijf hierbij is aangesloten, bij de Nederlandse Vereniging van Handelsinformatiebureaus (NVH) terecht. De NVH heeft een gedragscode en een klachtenprocedure. Als dit onvoldoende oplevert kunnen consumenten een klacht indienen bij de Autoriteit Persoonsgegevens.

Vraag 4
Bent u bereid de Autoriteit Persoonsgegevens met de grootst mogelijke spoed te wijzen op de praktijken zoals die naar voren kwamen in de uitzending van Kassa, zodat zij kan onderzoeken of deze praktijken inderdaad in strijd zijn met de AVG? Zo nee, waarom niet?

Antwoord op vraag 4
Zoals ik al aangaf bij het antwoord op de vorige vraag, is de Autoriteit Persoonsgegevens een onafhankelijke toezichthouder en bepaalt zelf haar prioriteiten Het is belangrijk deze onafhankelijkheid te waarborgen. Het is daarom niet gepast om te willen beïnvloeden welke zaken de Autoriteit Persoonsgegevens onderzoekt.

De Autoriteit Persoonsgegevens heeft bekend gemaakt dat de komende jaren de doorverkoop van gegevens een van haar aandachtsgebieden zal zijn. [3] Zoals aangegeven bij vraag 3, heeft de Autoriteit Persoonsgegevens mij laten weten dat ze momenteel onderzoek doet naar meerdere handelsinformatiebureaus.

— Noten —

(1)
https://www.bnnvara.nl/kassa/artikelen/commercile-databoeren-registreren-gegevens-over-betaalgedrag-voor-kredietwaardigheid

[1] Artikel 5, eerste lid, AVG.
[2] Artikel 13 en 14 AVG.
[3] Autoriteit Persoonsgegevens, ‘Focus AP 2020-2023’, 11 november 2019, p. 20-21.

 

Antwoord op vragen over zwarte lijsten:

Antwoorden van de minister voor Rechtsbescherming op de schriftelijke vragen van het lid Verhoeven (D66) over het bericht ‘U staat op een zwarte lijst’. (ingezonden 11 september 2020, 2020Z16169)

Vraag 1
Bent u bekend met het bericht ‘U staat op een zwarte lijst’? (1)

Antwoord op vraag 1
Ja, ik ben bekend met dit artikel.

Vraag 2
Klopt het dat de in het artikel genoemde praktijken tot op de dag van vandaag doorgang vinden?

Antwoord op vraag 2
De Autoriteit Persoonsgegevens heeft me laten weten dat ze veel klachten ontvangt over dit soort praktijken. Ze doet daarom op dit moment onderzoek naar meerdere handelsinformatiebureaus.

Vraag 3
Klopt het dat de genoemde bedrijven in het artikel (EDR, Lindorff en Focum) databases met persoonlijke gegevens bijhouden van miljoenen Nederlanders zonder dat zij hierover zijn geïnformeerd en dat deze gebruikt worden om vergaande beslissingen te nemen die invloed hebben op het leven van mensen?

Antwoord op vraag 3
De Autoriteit Persoonsgegevens houdt toezicht op dergelijke verwerkingen van persoonsgegevens. Ze doet in beginsel geen uitspraak over individuele zaken, tenzij een onderzoek is afgerond.

Vraag 4
Klopt het dat bij sommige mensen de levering van diensten geweigerd wordt op basis van een ‘score’ van dergelijke bedrijven, die soms alleen gebaseerd is op het adres?

Antwoord op vraag 4
Gelet op dat het onderzoek van de Autoriteit Persoonsgegevens nog niet is afgerond, is het niet mogelijk om inhoudelijk op zaken in te gaan. Wel heeft de Autoriteit Persoonsgegevens laten weten dat de ontvangen klachten in veel gevallen betrekking hebben op scoring. In andere gevallen gaat het om klachten die betrekking hebben op direct marketing. Daarnaast krijgt de Autoriteit Persoonsgegevens klachten binnen die zien op het niet verlenen van inzage of het niet inwilligen van verwijderverzoeken.

Vraag 5
Klopt het dat deze praktijken in strijd zijn met de Algemene verordening gegevensbescherming (AVG) en kunt u hier een eigen juridische analyse op geven? Zo ja, welke stappen gaat u nemen om deze praktijk te stoppen?

Antwoord op vraag 5
Het geciteerde artikel uit De Groene Amsterdammer stamt uit 2017. Op dat moment was de AVG nog niet in werking getreden.

Het basisbeginsel van de AVG is dat persoonsgegevens alleen mogen worden verwerkt als hiervoor een geldige grondslag bestaat. Deze zes grondslagen zijn te vinden in artikel 6, eerste lid, AVG. Of de genoemde bedrijven een geldige grondslag hebben, is ter beoordeling van de Autoriteit Persoonsgegevens en uiteindelijk de rechter.

Daarnaast hebben burgers het recht om niet te onderworpen worden aan geautomatiseerde individuele besluitvorming. [1] Er dient in ieder geval voor dergelijke verwerkingen passende waarborgen worden geboden, waaronder specifieke informatie aan de betrokkene en het recht op menselijke tussenkomst, om zijn standpunt kenbaar te maken, om uitleg over de na een dergelijke beoordeling genomen besluit te krijgen en om het besluit aan te vechten. [2]

Tot slot hebben de verwerkingsverantwoordelijken, zoals de genoemde bedrijven, een transparantieplicht. [3] Zo dient er bij de verwerking van de persoonsgegevens al aan de betrokken personen te worden gemeld welke gegevens worden verzameld, door wie, met welk doel en de ontvangers van de persoonsgegevens. [4] Daarnaast dienen ze de betrokkenen ook op de hoogte te stellen van hun rechten, zoals het recht op inzage. [5]

Vraag 6
Klopt het dat het in strijd is met de wet om diensten in te kopen van dergelijke bedrijven en welke stappen gaat u nemen om ervoor te zorgen dat energiebedrijven, woningcorporaties, kredietaanbieders en zorgverzekeraars geen gebruik meer maken van dergelijke onrechtmatige diensten? Bent u bereid in gesprek te gaan met deze bedrijven en organisaties?

Antwoord op vraag 6
De koop en verkoop van persoonsgegevens zijn ook verwerkingen van persoonsgegevens. Ook de kopers van deze diensten zullen dus een geldige grondslag in de zin van artikel 6, eerste lid, AVG moeten hebben. Zowel de verkoper van de gegevens als de koper ervan zullen ervoor moeten zorgen dat ze handelen in overeenstemming met de AVG. Zo dienen ze onder andere de betrokken personen te informeren dat hun gegevens worden verwerkt. [6]

Zoals eerder aangegeven is de Autoriteit Persoonsgegevens bezig met een onderzoek naar meerdere handelsinformatiebureaus. Indien uit het onderzoek van de Autoriteit Persoonsgegevens blijkt dat deze praktijken niet zijn toegestaan onder de AVG, dan ben ik bereid om samen met de Autoriteit Persoonsgegevens in gesprek te gaan met de bedrijven en organisaties die deze diensten afnemen.

Vraag 7
Welke stappen kunnen mensen nemen om hun recht te halen als zij onterecht door deze bedrijven, en de algoritmes die de bedrijven gebruiken, als wanbetaler worden bestempeld?

Antwoord op vraag 7
Een van de basisbeginselen van de AVG is dat persoonsgegevens juist dienen te zijn en indien nodig worden geactualiseerd. [7] Dit houdt in dat de genoemde bedrijven alle redelijke maatregelen moeten nemen dat onjuiste gegevens onverwijld worden gerectificeerd of gewist. Wanneer een burger constateert dat er onjuiste persoonsgegevens worden verwerkt, kan hij eisen dat het bedrijf deze gegevens rectificeert. [8]

Indien de grondslag voor de verwerking van de persoonsgegevens rust op gerechtvaardigd belang of op toestemming, dan kan een burger tevens bezwaar maken tegen de geautomatiseerde individuele besluitvorming en de profilering die daarmee gepaard gaat. [9] In deze gevallen is het ook mogelijk voor de burger om te eisen dat zijn persoonsgegevens worden gewist. [10]

Verder kan een consument, indien het desbetreffende bedrijf hierbij is aangesloten, bij de Nederlandse Vereniging van Handelsinformatiebureaus (NVH) terecht. De NVH heeft een gedragscode en een klachtenprocedure.

Wanneer burgers de verwerking van hun persoonsgegevens onrechtmatig achten, dan kunnen ze ook een klacht indienen bij de Autoriteit Persoonsgegevens.

Vraag 8
Kunnen mensen die in sommige gevallen, bijvoorbeeld door energieleveranciers, worden gevraagd een ‘borg’ te betalen om klant te mogen worden, deze borg terugvorderen?

Antwoord op vraag 8
Het ministerie van Economische Zaken en Klimaat heeft mij laten weten dat het vragen van een waarborgsom een bestaande praktijk is in de energiesector. In 2013 zijn Energie Nederland en de Consumentenbond tot overeenstemming gekomen over een set algemene voorwaarden voor energielevering. In deze voorwaarden is opgenomen dat de leverancier van de contractant (consument) zekerheden, zoals een bankgarantie of waarborgsom, mag verlangen voor de bedragen die de consument voor de energielevering verschuldigd is. [11]
Bij de vraag of een consument de waarborgsom kan terugvorderen, is het belangrijk te benadrukken uitgangspunt van het contractenrecht is dat partijen in beginsel contractsvrijheid hebben. Hieronder vallen ook bepalingen waarin een aanbieder van diensten vooraf een borg aan zijn klanten vraagt en de wijze waarop deze wordt teruggegeven. Of een persoon deze borg kan terugvorderen, hangt daarom af van hoe dit in het desbetreffende contract is geregeld.

Vraag 9
Kunt u uiteenzetten, als het gaat om deurwaarders en incassobureaus, welke gegevens deze bedrijven over mensen mogen verzamelen en wat voor stappen mensen kunnen zetten om deze gegevens, conform de AVG, in te zien, te wijzigen of te verwijderen?

Antwoord op vraag 9
Er dient een onderscheid te worden gemaakt tussen gerechtsdeurwaarders en incassobureaus. De taken en bevoegdheden van gerechtsdeurwaarders zijn wettelijk vastgelegd en dit kan ook dienen als grondslag voor de verwerking van persoonsgegevens. Incassobureaus daarentegen zijn commerciële bedrijven en zullen dus op basis van een andere grondslag handelen.

De Koninklijke Beroepsorganisatie van Gerechtsdeurwaarders heeft een Gedragscode waarin de verwerking van persoonsgegevens door gerechtsdeurwaarders nader wordt gespecificeerd. [12] De gedragscode stelt onder meer dat de verstrekking van persoonsgegevens door de gerechtsdeurwaarder aan derden aan strikte regels is gebonden en dat persoonsgegevens slechts uit een beperkt aantal bronnen mogen worden verkregen, afhankelijk van de soort werkzaamheid die de gerechtsdeurwaarder uitoefent. De Gedragscode bevat ook een lijst met het soort persoonsgegevens dat in dit kader mag worden gebruikt. [13]

Wat betreft incassobureaus is het beginsel van minimale gegevensverwerking belangrijk. [14] Incassobureaus zullen de gegevens die ze verwerken moeten beperken tot datgene dat strikt noodzakelijk is voor het doel waarvoor ze worden verwerkt.

Wat betreft de stappen die mensen kunnen zetten, biedt de AVG de mogelijkheid om de persoonsgegevens in te zien, te rectificeren en te laten wissen. [15]

— Noten —

(1) https://www.groene.nl/artikel/u-staat-op-een-zwarte-lijst

1 Artikel 22, eerste lid, AVG.
2 Considerans, onder 71, AVG.
3 Artikel 5, eerste lid, onder a, AVG.
4 Artikel 13, eerste lid, AVG.
5 Artikel 13, tweede lid, AVG.
6 Artikel 14 AVG.
7 Artikel 5, eerste lid, onder c, AVG.
8 Artikel 16 AVG.
9 Artikel 21, eerste lid, AVG.
10 Artikel 17, eerste lid, onder c, AVG.
11 Zie ook Kamervragen (Aanhangsel) 2016-2017, nr. 1539.
12 Gedragscode gerechtsdeurwaarders ter bescherming persoonsgegevens.
13 Artikel 4, eerste lid, Gedragscode gerechtsdeurwaarders.
14 Artikel 5, eerste lid, onder c, AVG.
15 Artikelen 15 tot en met 17 AVG.

 

Berichten op dit blog over zwarte lijsten van financiële instellingen, overige zwarte lijsten, datahandelaren en AVG.

 

Aanvulling 26 oktober 2020
Lees over zwarte lijsten door winkeliers het artikel “Winkeldief steeds vaker in databank en aan de muur in de kantine, is dat wenselijk?” in Trouw.

Aanvulling 27 oktober 2020
In het VK heeft de privacytoezichthouder handhavingsmaatregelen tegen Experian genomen, lees dit Engelstalige artikel van Privacy International.

Geplaatst in Financieel recht, onder meer Wft, Wtt, ICT, privacy, e-commerce | Tags: , , , , , , , , , , , , , , | Plaats een reactie