European Payments Initiative

Geplaatst op 8 augustus 2020 door Ellen Timmer

A European group of banks, including the Dutch ING Bank, has announced cooperation in regard of payment transactions, referred to as the ‘European Payments Initiative (EPI)’. The group intends to create a pan-European payment solution leveraging notably instant SEPA credit transfers that should become the new standard of payments for European consumers and merchants in all types of payment transactions.

AML-legislation is not explicitly mentioned in the article by European Banking Federation (EBF) on EPI, but also must be in the minds of the group of banks. Payments are permanently monitored by banks and payment institutions, to detect criminal activity by their clients and counterparties. The EPI-policy paper only speaks of “the constantly evolving requirements on anti-terrorist financing and anti-money laundering activities“. EBF supports the new European AML-plans that again will lead to fundamental changes in legislation and will increase the regulatory burden for SME’s.

 

More information:

European Payments Initiative (EPI):

EBF on AML:

Geplaatst in English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce | Tags: , , , , , , , | Plaats een reactie

Hoe staat het met het RDW datalek?

Geplaatst op 7 augustus 2020 door Ellen Timmer

Vorig jaar werd een ernstig datalek bij de Rijksdienst voor het Wegverkeer (RDW) bekend gemaakt. Na de beantwoording van vragen uit de Tweede Kamer (1, 2) is het stil gebleven. In het eerste antwoord stond:

De RDW heeft aangifte gedaan bij de politie die daarop in samenwerking met de RDW (en het LIV) een onderzoek is gestart. De politie leidt dit onderzoek. Afhankelijk van de bevindingen zal ik met alle betrokkenen, bezien of, en zo ja, welke maatregelen er getroffen moeten worden en of verder onderzoek noodzakelijk is. Daarnaast hebben de directie en de raad van toezicht van de RDW besloten om een externe partij de opdracht te geven tot een onderzoek naar de structurele maatregelen van de RDW om het kentekenregister nog veiliger te laten raadplegen door eigen medewerkers, andere overheidsdiensten en overige beroepsbeoefenaren. Ik heb de RDW gevraagd mij over de uitkomsten hiervan te informeren.

Op de site van de RDW werd op 5 augustus 2019 gemeld dat er onderzoek wordt ingesteld. Meer kan ik bij de RDW niet vinden, ook niet op de pagina over informatieveiligheid.

Zou het onderzoek nog steeds lopen?

Geplaatst in ICT, privacy, e-commerce | Tags: , , , , | Plaats een reactie

AVG-naleving door de stichtingen in de financiële sector | inzage- en correctierecht AVG

Geplaatst op 6 augustus 2020 door Ellen Timmer

In de financiële sector zijn vele stichtingen actief, die door de sector worden gefinancierd en voor de financiële instellingen taken uitvoeren. Deze stichtingen moeten zich aan de Europese privacyregels in de Algemene Verordening Gegevensbescherming (AVG) houden. Onlangs was Stichting Bureau Krediet Registratie (BKR), het kredietregistratiebureau [1] van de financiële instellingen in het nieuws vanwege niet-naleving van de AVG. BKR is niet de enige financiële sector-stichting waar de AVG aandacht verdient.

Zwarte lijsten
Voor burgers, ondernemingen en organisaties zijn de stichtingen belangrijk die in opdracht van de financiële sector registreren wie er op de zwarte lijst staan. De instellingen kennen een interne zwarte lijst, vaak als ‘Intern Verwijzingsregister’ (IVR) aangeduid. Daarnaast wisselen instellingen onderling gegevens uit van mensen die op de externe zwarte lijst staan, bij de banken heet dit het ‘Extern Verwijzingsregister’ (EVR). Mensen kunnen op de zwarte lijst worden gezet bij een vermoeden van fraude, dan wel als zij daarvoor veroordeeld zijn.

Een van die stichtingen is Stichting Centraal Informatie Systeem van in Nederland Werkzame Verzekeringsmaatschappijen, een stichting die ik in 2019 niet kon vinden in het handelsregister,  omdat hun handelsnaam ‘Stichting CIS’ daar niet was ingeschreven. Bij Stichting CIS worden mensen geregistreerd die door verzekeraars op de zwarte lijst zijn gezet.

Als mensen door Stichting CIS zijn geregistreerd, krijgen zij geen bericht van de stichting. Vorige jaar stuurde ik een brief aan de stichting en kreeg in december 2019 dit antwoord:

Indien uw klacht over de inhoud van de registratie gaat kan CIS u klacht niet in behandeling nemen omdat zij slechts beheerder van de CIS databank is. Hiervoor verwijst CIS u naar de klachtencommissie van de betreffende verzekeraar of volmacht. Indien de reactie hierbij niet het gewenste resultaat heeft kan CIS u doorverwijzen naar het Kifid of eventueel de rechter.

Daaruit blijkt dat Stichting CIS veronderstelt dat zij slechts ‘verwerker’ is in opdracht van de verzekeringsmaatschappijen, wat naar mijn idee een onjuiste veronderstelling is. Ik ga er van uit dat deze stichting op grond van de AVG verwerkingsverantwoordelijk is. Dat betekent dat Stichting CIS zelf de geregistreerden moet informeren en hun correctieverzoeken in behandeling moet nemen.

Overigens is het systeem van plaatsing op de zwarte lijst ondoorzichtig en gaan financiële instellingen er soms niet correct mee om, zodat er alle aanleiding is een en ander te reguleren en te zorgen voor goede rechtsbescherming.

Autoriteit Persoonsgegevens
In een artikel van de NOS [2] las ik dat de voorzitter van de Autoriteit Persoonsgegevens al heeft gesignaleerd dat het BKR inzage hoort te verlenen en voor correctie ten onrechte verwijst naar de financiële instellingen. De doorverwijzing voor correctie is  in strijd is met de AVG, zo constateert de voorzitter van de Autoriteit Persoonsgegevens in het artikel, die zegt dat nog niet is onderzocht of BKR de AVG op dit punt overtreedt.

Werk aan de winkel
Uit het bovenstaande kan worden afgeleid dat er in de financiële sector nog het nodige te doen is aan de naleving van de verplichtingen op grond van de AVG. Om te beginnen zou het goed zijn als inzage- en correctierecht voor alle stichtingen in de financiële sector conform de AVG worden geregeld.

Overigens dringen financiële instellingen aan op afwijkende regels op het gebied van privacy, aangezien zij de AVG als belemmerend ervaren, met name in verband met hun opsporingstaak op grond van de Wwft [3]. Die afwijkende regels zijn sowieso nodig als de banken gezamenlijk alle transacties van rekeninghouders gaan monitoren via Transactiemonitoring Nederland.

[1] BKR is de datahandelaar van de financiële sector en doet bijvoorbeeld ook onderzoeken naar wie politiek prominente personen (‘PEP’s’) zijn in de zin van de Wwft.

[2] NOS: Geld vragen voor inzien dossier mag niet, boete voor Bureau Krediet Registratie, 6 juli 2020.

[3] In het artikel Fraude in het betalingsverkeer in een uitgave van de Nederlandse Vereniging van Banken (NVB), wordt een vraag aan de geïnterviewde bankmedewerkster gesteld: “Wat ziet u als belangrijkste uitdaging voor de fraudebestrijders van de banken?
“Dat is zonder meer het opereren binnen de regels van de privacywetgeving. Banken in Nederland moeten meer doen om de privacy van klanten te beschermen dan ze mogen doen om fraude te bestrijden. Een vermoeden van fraude mag je op basis van privacywetgeving niet neerleggen bij andere banken en je mag dan geen persoonsgegevens over de vermeende fraudeur uitwisselen. Daardoor kun je niet altijd goed verifiëren of je vermoedens juist zijn. Dat is voor ons erg lastig, vooral omdat je juist snel wilt acteren. Als je geen verificatie kunt doen, blijft het soms bij een vermoeden.”

 

 

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , , , , | Plaats een reactie

Rapport over nieuwe vormen van oplichting en fraude gaat niet in op de oorzaken | WODC

Geplaatst op 5 augustus 2020 door Ellen Timmer

Het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) heeft in de serie Justitiële Verkenningen een themanummer uitgebracht over nieuwe vormen van oplichting en fraude.

Opvallend is dat de auteurs niet ingaan op de oorzaken van de verbeterde fraudemogelijkheden, zoals:

  • De onveiligheid van e-mail, aangezien de inhoud onderweg gemanipuleerd kan worden en de afzender niet geverifieerd kan worden, er worden wel maatregelen genomen maar deze zijn onvoldoende (meer informatie). De meeste mensen zijn niet met de onveiligheid bekend en de overheid doet er te weinig aan om dit bekend te maken.
  • Het onveilige gebruik van het mobiele nummer, de geboortedatum en andere breed verspreide persoonsgegevens voor digitale diensten, zoals voor messaging en tweefactorauthenticatie. Voorbeeld: door gebruik van het mobiele nummer is het gemakkelijk om mensen via whatsapp te benaderen. Het gebruik van mobiele telefoonnummers voor messaging diensten zoals whatsapp en signal zal moeten worden gestaakt.

Daar komt nog bij dat de meeste mensen de door hen gebruikte digitale hulpmiddelen (hardware / software) onvoldoende begrijpen en daardoor de kwetsbaarheden onvoldoende onderkennen. Dat heeft tot gevolg dat bewustwordingstrainingen onvoldoende effect zullen hebben.

Het is hoog tijd dat digitale systemen technisch worden verbeterd en geschikt worden gemaakt voor de grote groep van gebruikers die onvoldoende van techniek begrijpt. Mijn indruk is dat dit rond tachtig of negentig procent van de bevolking is. Overheden en bedrijven moeten verplicht worden om veilige producten te leveren op straffe van pittige sancties.

 

Meer informatie:

Namen van de artikelen:

  • Coronacrisis en fraude: vier mogelijke relaties
  • Vissen met een nieuwe hengel: een onderzoek naar betaalverzoekfraude
  • F-gamers die ‘mapsen’, ‘swipen’ en ‘bonken’: een netnografisch onderzoek naar fraude en oplichting op Telegram Messenger
  • Helpdeskfraude in Nederland
  • Het verlies van geld, geluk en gezicht. Romance scams, datingfraude en ‘sweetheart swindles’
  • Wie krijgt zijn geld terug? Acties van slachtoffers tot schadevergoeding bij bankfraude
  • Resultaten van een awareness-training in het herkennen van phishingmails
  • Social engineering: digitale fraude en misleiding. Een metaanalyse van studies naar de effectiviteit van interventies
  • Wat maakt een cyber awareness-campagne effectief?
  • Ons cybergedrag is veel onveiliger dan we zelf denken. Implicaties voor effectief beïnvloedingsbeleid door de overheid
Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Strafrecht | Tags: , , , , , | Plaats een reactie

European banks do not want American clients | FATCA

Geplaatst op 4 augustus 2020 door Ellen Timmer

On this blog I pay attention to the European ‘Accidental Americans’, people who did not ask to become a ‘US person’, but who e.g. accidentally have been born in the US and returned after a few years to Europe and only after FATCA found out they are US person (more information in Dutch). Not only they are in great trouble with banks and governments.

The same applies to the ‘real’ Americans, people who have grown up in the US and have come to Europe later in their life. Many of them have major problems with financial institutions in Europe. The most important reason: European financial institutions have to provide unpaid services to the US tax authority (IRS) and they consider that to be too expensive. Another reason is that sometimes US law applies to services provided to US persons, something that does not make the financial institutions happy either.

The articles on this subject show that the problems are increasing. One of the articles describes the position of European financial institutions of which “very few have the type of compliance department that can handle complex U.S. regulations and heightened scrutiny“.

These American expats often are not in the position to give up their American nationality. One of my US-expat readers wrote:

I would never want anyone to actively be forced or coerced to relinquish citizenship or denounce their heritage. I think the problem comes as US Laws treat people as foreign assets across the board and the EU, as many areas, have effectively recognized/accepted that.The explosion and acceptance of “extraterritorial laws” has seriously damaged human rights and effectively designates human beings as “property” in specified circumstances whereby more countries are more and more treating their subjects as the US does. Where extraterritorial laws conflict for a certain person or entity, as with FATCA, the results are disasterous. Most countries limit the application of their laws to six months residency in a foreign state, but exceptions exist for every country. For example, in the Netherlands, sanctions are maintained that do not expire even when tax residency does. Pretty much all countries are now ramping up this inhumane treatment of people under the keyword “Compliance.” To me, “Compliance” has become a dirty word and a cottage industry and pretty much all countries are guilty for not having recognized this. Solving FATCA alone will not solve this but will probably make a difference that the trend starts to move in the other direction.

It shows the importance of financial human rights.

 

Some of the articles on the problems of US expats

Why US Brokerage Accounts of American Expats are Being Closed, Thun, 2020:

Americans abroad are being informed by U.S. banks and brokerage firms with increasing frequency that their accounts have been restricted or even closed due to their status as non-U.S. residents. (…) This follows on the heels of widespread action by non-U.S. financial institutions to revoke and refuse services to expat Americans as a result of the Foreign Account Tax Compliance Act (FATCA).

First It Was FATCA, Now MiFID II Has U.S. Investors in Europe Facing Night-mares, Blooomberg, 7 November 2019:

The last several years have been challenging for overseas Americans to open or maintain financial accounts in the U.S. and in their country of residence. For a variety of compliance and legal reasons, many U.S. banks and brokerage firms have been asking their long-standing overseas American clients to close their accounts. At the same time, due to Foreign Account Tax Compliance Act (FATCA) compliance issues, many non-U.S. financial institutions have made it difficult or impossible for overseas Americans to work with them.

The Tax Implications of Opening a Foreign Bank Account, Investopedia, 11 August 2019:

And frankly, most foreign banks nowadays do not want deposits from U.S. citizens, either—not even those in the traditional destinations, such as Switzerland and the United Kingdom. Their reluctance is due to the increased aggressiveness from the IRS and the Department of Justice (DOJ). Foreign banks are only willing to devote so much time and energy to courting American clients, and very few have the type of compliance department that can handle complex U.S. regulations and heightened scrutiny.

‘US person’ status: financial restrictions for American expatriates in France, March 2019:

When you are an American citizen and you plan to become a resident of France, you should be aware that having the status of a “US person” can sometimes lead to unexpected consequences for your personal finances in France, particularly concerning whether (or not!) you will be able to open a bank account. It’s better to first prepare yourself to avoid some headaches and frustration …

FATCA for US Expats – The Ultimate Guide, 2019:

For foreign banks, the cost of FATCA compliance has been huge, according to some estimates costing more money globally than the IRS has recouped in new tax revenue. Many foreign banks have in fact taken the view that the cost of FATCA compliance isn’t worth having US clients for, leading them to turn Americans away or close existing clients’ accounts. This in turn has left some American expats unable to access banking or credit services in the country where they live.

Access to Banking and Financial Services, October 2017, by the Association of Americans Resident Overseas, describes the problems of expats.

New Banking Services Available for US Expats Suffering Due to FATCA, Bright Tax, August 2016:

Since the Foreign Account Tax Compliance Act (FATCA) began compelling foreign banks to report their American account holders or face significant penalties if they trade in the US (which nearly all do), the extra paperwork that the reporting entails has led many foreign banks to refuse to provide services to US citizens.
This has left tens of thousands of Americans living abroad in a very difficult situation, unable to open a bank account, having existing bank accounts closed, or unable to obtain credit or a mortgage.

 

All posts on this blog on: FATCA, financial human rights.

 

Addition 1o November 2020
Read the tweets of a woman living in Sweden who is denied access to the financial system:

 

Addition 10 November 2020
In Bitcoinmagazine the article Binance weert Amerikaanse klanten, nog 90 dagen om Bitcoin op te nemen was published. The reason why Binance has a separate portal for the US is probably also caused by applicability of complicated US legislation on Binance’s activities.

Is the future that people from the US and US Persons living elsewhere can not buy products or obtain services from providers outside the US?

Geplaatst in Belastingrecht, Financieel recht, onder meer Wft, Wtt | Tags: , , , , | Plaats een reactie

Negeren databeschermingsregels door Openbaar Ministerie afgestraft | AVG

Geplaatst op 3 augustus 2020 door Ellen Timmer

Het negeren door het Openbaar Ministerie van de databeschermingsregels werd hard door de rechter afgestraft: lees in het NRC Verdachten zaak sushiketen Sumo krijgen geen straf vanwege inbreuk op hun privacy. De rechter oordeelde dat het OM de integriteit van het strafproces in gevaar heeft gebracht door een filmmaker te laten meekijken.

Dit is een duidelijk geval van: wie niet horen wil moet maar voelen.

Geplaatst in Grondrechten, ICT, privacy, e-commerce, Strafrecht | Tags: , | Plaats een reactie

PSD2-GDPR guidelines in consultation | EDPB

Geplaatst op 3 augustus 2020 door Ellen Timmer

During its 34th plenary session, the EDPB adopted draft Guidelines on the interplay between the second Payment Services Directive (PSD2) and the GDPR, read this press release, where they say:

The EDPB adopted Guidelines on the second Payment Services Directive (PSD2). PSD2 modernises the legal framework for the payment services market. Importantly, PSD2 introduces a legal framework for new payment initiation services (PISP) and account information services (AISP). Users can request that these new payment service providers are granted access to their payment accounts. Following a stakeholders workshop in February 2019, the EDPB developed Guidelines on the application of the GDPR to these new payment services.

The Guidelines point out that in this context the processing of special categories of personal data is generally prohibited (in line with Article 9 (1) GDPR), except when explicit consent is given by the data subject (Article 9 (2) (a) GDPR) or processing is necessary for reasons of substantial public interest (Article 9 (2) (g) GDPR).

The Guidelines also address conditions under which Account Servicing Payment Service Providers (ASPSPs) grant access to payment account information to PISPs and AISPs, especially granular access to payment accounts.

The Guidelines clarify that neither Article 66 (3) (g) nor Article 67 (2) (f) of the PSD2 allow for any further processing, unless the data subject has given consent pursuant to Article 6 (1) (a) of the GDPR or the processing is laid down by Union law or Member State law. The Guidelines will be submitted for public consultation.

The consultation on the draft Guidelines has started on 22 July, read the announcement. The consultation will end on 16 September 2020.

 

All PSD2-posts on this blog.

Geplaatst in English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce | Tags: , , , | Plaats een reactie

Coöperaties kunnen nog maar bij drie banken terecht | het screenen van leden

Geplaatst op 3 augustus 2020 door Ellen Timmer

Onlangs zag ik op de website van een coöperatie, Land van Ons, dat zij melding maken van problemen om aan een bankrekening te komen.

Uit de tekst blijkt hoe zeer de witwasbestrijding is doorgeschoten: het lijkt er op dat sommige banken willen dat coöperaties al hun leden ‘screenen‘. Even los van de vraag of coöperaties, verenigingen en VvE’s in staat zijn om hun leden te screenen, is die eis natuurlijk te bizar voor woorden. Nog even en niemand kan meer voor een bankrekening bij een bank terecht, omdat banken voor alles bang zijn.

Op de site van coöperatie Land van Ons, die in de milieuvriendelijke hoek actief is, wordt gevraagd waarom men niet een rekening heeft bij een ‘groene’ bank. Het antwoord:

Dat wilden we ook, maar om te beginnen zijn er slechts een paar banken in Nederland die een coöperatie als klant mogen/willen hebben. Dit zijn de 3 grootbanken ABN, Rabo en ING, en Triodosbank. Dat andere banken (als ASN) geen coöperaties willen hebben heeft o.i. te maken met steeds strengere regelgeving van de Nederlandse Bank (bang voor witwassen e.d.)

Onze eerste voorkeur lag logischerwijs bij Triodosbank. Daarnaast wilden we vanuit risicospreiding een tweede bank. Dat zou dus een van de grote 3 moeten worden. Het werd uiteindelijk ING.

Toen kwam onverwacht het opmerkelijke bericht dat Triodosbank ons niet als klant wilde hebben. We waren natuurlijk hogelijk verbaasd, omdat we naar ons idee 100% in hun profiel passen. We wilden uiteraard opheldering (en niet alleen over de telefoon, maar ook op papier, zodat we dat ook richting onze leden konden communiceren).

Maar nadat ze dit eerst hadden toegezegd, trokken ze dat na 2 weken in. Ze verwezen alleen naar hun algemene voorwaarden (die bol staan van de algemeenheden). We zijn niet verder gekomen dan dat het iets te maken heeft met hun zorgplicht. Ook Triodosbank is door de Nederlandse Bank op de vingers getikt, vanwege witwassen. Omdat wij onze leden niet screenen (wat we onzin vinden, want het gaat i.h.a. om kleine bedragen) is dat blijkbaar het probleem.

Nogmaals: het is onze interpretatie, want ze hebben zelf nooit opheldering willen geven.

Samenvattend: wij vinden het ook jammer. Misschien dat ze te zijner tijd tot nieuwe inzichten komen, we zijn inmiddels weer in gesprek. Tot die tijd zitten we gewoon alleen bij ING-bank.

Het is hoog tijd dat de excessen in de witwasbestrijding worden aangepakt. Dat alle coöperaties, verenigingen en VvE’s hun leden zouden moeten screenen en in het kader van het cliëntenonderzoek vertrouwelijke persoonsgegevens aan de bank zouden moeten verstrekken, is zo’n exces.

Geplaatst in Bankrekening krijgen en behouden, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , , , , | Plaats een reactie

Rathenau Instituut | Wetgever moet persoonlijke gegevens van burgers beter beschermen

Geplaatst op 2 augustus 2020 door Ellen Timmer

Het Rathenau Instituut schrijft behartenswaardige adviezen. In juli verstuurde het instituut een brief aan de minister van Veiligheid over het voornemen de Nederlandse uitvoeringswet voor de AVG aan te passen.

In de aankondiging onder de kop “Wetgever moet persoonlijke gegevens van burgers beter beschermen” worden de aanbevelingen als volgt samengevat:

* Verbied de verwerking van genetische gegevens door commerciële analysebureaus en door werkgevers.
* Verbied de verwerking van biometrische gegevens in de publieke ruimte en voer voor overige gevallen een vergunningsplicht in.
* Verduidelijk de voorwaarden voor de verwerking van gezondheidsgegevens in het medische domein en daarbuiten.

Lees:

 

Banken willen graag meer biometrie gebruiken, lees dit. Een gevaarlijke wens nu een vingerafdruk of een gezicht na diefstal (want ja, dan kan in de digitale wereld) niet vervangen kan worden. Misschien moeten de banken maar eens met het Rathenau Instituut spreken.

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , | Plaats een reactie

Accidental American-letter In’t Veld | FATCA

Geplaatst op 1 augustus 2020 door Ellen Timmer

The European Commission has sent a reply to the letter of 9 April by Sophie in’t Veld on the Accidental Americans. In’t Veld comments:

 

The text of the letter by Commissioner Gentiloni:

 

Geplaatst in English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt, Grondrechten | Tags: , , , , | Plaats een reactie