Plannen om de robuuste versleuteling op internet te ondermijnen zijn onveilig en gevaarlijk, aldus Arnbak

Geplaatst op 9 januari 2020 door Ellen Timmer

Al eerder [*] waarschuwde Axel Arnbak voor de gevaren verbonden aan verzwakking van de beveiliging van digitale omgevingen.
In het FD van vandaag waarschuwt hij opnieuw in Plannen om de robuuste versleuteling op internet te ondermijnen zijn onveilig en gevaarlijk. Hij schrijft onder meer:

Het gaat echt ergens over, want internet is net als geld: zodra de samenleving het vertrouwen verliest, kun je alle internetapparaten net als ongeloofwaardig papiergeld in de prullenbak gooien.

 

[*] Veiligheidsdiensten willen onveilige 5G-standaard. Voor onze veiligheid, 27 juni 2019.

Alle berichten over encryptie op dit blog.

 

Aanvulling 21 mei 2020
De overheid blijft tobben met encryptie. Lees de Minister van Veiligheid die een achterdeurtje in whatsapp en signal wil. Natuurlijk haalt de Amerikaanse Minister Barr weer uit tegen encryptie in een tirade tegen Apple.

Geplaatst in ICT, privacy, e-commerce | Tags: , , , , , | Plaats een reactie

Met Google inloggen bij de reclassering? | Rathenau Instituut

Geplaatst op 9 januari 2020 door Ellen Timmer

Twee auteurs van het Rathenau Instituut, Pieter van Boheemen en Linda Kool, spreken in een artikel hun zorg uit over het voorstel voor de Wet digitale overheid, dat het mogelijk maakt dat burgers via private ondernemingen inloggen bij de overheid. Ook advertentiebedrijven zoals Google en Facebook kunnen dergelijke diensten aanbieden. De auteurs waarschuwen voor het risico dat burgers via die weg vertrouwelijke gegevens verschaffen aan advertentiebedrijven, als gevolg waarvan de privacy nog meer wordt verminderd. Zij schrijven onder meer:

Vanuit efficiëntie en gemak een mooie gedachte, maar het wetsvoorstel lijkt andere publieke waarden onvoldoende in ogenschouw te nemen. Burgers gebruiken digitale identificatiemiddelen immers voor zeer privacygevoelige doeleinden. Denk maar aan het inloggen bij dienstaanbieders in de jeugdzorg, reclassering of andere organisaties in het sociale domein. Dat eID-aanbieders daarbij vastleggen wie met welke dienst zakendoet, bijvoorbeeld om fraude te bestrijden, is begrijpelijk. Maar zo’n inlogregister kan voor private eID-aanbieders ook om andere redenen interessant zijn. Door het register met andere persoonlijke informatie te combineren, kan een profiel worden opgebouwd. Een profiel dat vervolgens kan worden gebruikt voor advertenties, het aanbieden van op jouw voorkeur afgestemde producten en andere belangen.

Zij constateren dat in het wetsvoorstel dat deze maand in de Tweede Kamer wordt behandeld, de waarborgen ontbreken om te voorkomen dat de vertrouwelijke gegevens in verkeerde handen komen respectievelijk voor verkeerde doelen worden gebruikt. Zij concluderen:

Om de privacy van burgers onder alle omstandigheden te waarborgen is aanscherping van het wetsvoorstel dus noodzakelijk. Want makkelijker kunnen we het zeker maken; nu nog privacyvriendelijker.

 

Meer informatie:

Aanvulling 3 februari 2020
Inmiddels zijn er meer mensen die bezwaar maken tegen het voornemen om ongecontroleerd private partijen toe te laten, lees de informatie op de site goedID, een initiatief van onder meer de Waag in Amsterdam.

Lees verder Opvolger DigiD maakt inloggen met Google mogelijk. Een goed idee?, Trouw 20 januari 2020.

Geplaatst in Bestuursrecht, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , , | Plaats een reactie

Je persoonlijke stasi agent als beloning voor een gezonder leven?

Geplaatst op 8 januari 2020 door Ellen Timmer

Jaap-Henk Hoepman schreef onder deze pittige titel een artikel over de nieuwe terreur van de gezondheidsapps:

Je persoonlijke stasi agent als beloning voor een gezonder leven?

 

Alle berichten op dit blog over ongezonde IT en dumbing down.

Aanvulling 9 januari 2020
In NRC verscheen Geef mensen zonder stappenteller geen straf door Malou van Hintum.

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , , , | Plaats een reactie

Autoriteit Persoonsgegevens dringt aan op wettelijke waarborgen voor kredietregistratie

Geplaatst op 7 januari 2020 door Ellen Timmer

Kenmerkend voor de financiële sector (onder meer banken) is dat grootschalig persoonsgegevens worden verzameld en verwerkt en dat veel privaat geregeld is, op een weinig transparante wijze. Een voorbeeld daarvan is de kredietregistratie, die plaats vindt via het Bureau Kredietregistratie (BKR), een door financiële instellingen gefinancierde organisatie. Voorts zijn er een groot aantal gegevensverzamelaars die buiten alle regulering om kredietgegevens van burgers en ondernemers verzamelen.

Onlangs liet de Autoriteit Persoonsgegevens weten dat het ongewenst is dat regelgeving inzake kredietregistratie ontbreekt:

AP bepleit wettelijke waarborgen voor kredietregistratie
Nieuwsbericht/12 december 2019

De Autoriteit Persoonsgegevens (AP) heeft de minister van Financiën geadviseerd om nieuwe wetgeving in gang te zetten die ervoor zorgt dat bij kredietregistratie vastgelegde persoonsgegevens beter worden beschermd.

Kredietregistratie
Kredietaanbieders mogen niet zomaar een krediet verstrekken. Om overkreditering te voorkomen, moeten zij eerst voldoende informatie inwinnen over de kredietwaardigheid van de klant. Om aan deze zorgplicht invulling te geven, moeten ze onder meer aangesloten zijn bij een stelsel van kredietregistratie.

Geen wettelijke waarborgen
Ondanks dat de wet dus zorgplichten oplegt en deelname aan het stelsel van kredietregistratie verplicht is, zijn er geen wettelijke regels voor de verwerking van persoonsgegevens om die verplichtingen uit te voeren.
De wetgever heeft dus niet afgewogen en vastgelegd wie wat wanneer mag met welke persoonsgegevens, wie het stelsel beheert en hoe lang kredietgegevens nog mogen worden bewaard na afloop van een krediet.
In de praktijk is BKR de organisatie die in Nederland de kredietregistratie uitvoert en ook bepaalt hoe met de gegevens wordt omgegaan. BKR registreert van miljoenen mensen gevoelige persoonsgegevens (krediet, betalingsachterstanden).

Waarborgen vastleggen
De AP stelt dat het aan de wetgever is om waarborgen vast te leggen voor de bescherming van persoonsgegevens bij kredietregistratie. En daarbij het algemene belang van het voorkomen van overkreditering expliciet af te wegen tegen het grondrecht op bescherming van persoonsgegevens.
Ook kan wetgeving waarborgen dat gegevens niet verloren kunnen gaan of in handen kunnen komen van onbevoegden. Bijvoorbeeld bij een faillissement.
Verder kan gedacht worden aan bepalingen over de beheerder van het stelsel (zoals financiering, benoeming en wat te doen bij taakverwaarlozing). Het vormgeven van kredietregistratie als goed afgebakende – en van commerciële activiteiten te onderscheiden – wettelijke taak van een wettelijk aangewezen beheerder biedt daarbij onmiskenbaar een duidelijke grondslag om persoonsgegevens te mogen verwerken, aldus de AP.

Advies AP
De AP adviseert dan ook wetgeving tot stand te brengen:
• waarbij de inbreuk op het grondrecht van degene die krediet heeft of wil expliciet wordt afgewogen tegen het algemene belang om overkreditering te voorkomen;
• die het beheer van een stelsel van kredietregistratie als wettelijke taak aan een bepaalde beheerder opdraagt;
• die zorgt voor duidelijke waarborgen voor de betrokkenen en voor een goede taakuitvoering.

Het advies kan hier (pdf) gedownload worden.

Het is een goede zaak dat ook in de financiële sector meer aandacht komt voor een zorgvuldige omgang met persoonsgegevens.

Zwarte lijsten financiële instellingen
Ook op het gebied van de zwarte lijsten waarop financiële instellingen mensen en organisatie plaatsen, is regelgeving zeer gewenst, lees onder meer:

Geplaatst in Financieel recht, onder meer Wft, Wtt, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , | Plaats een reactie

Oppassende Europese burgers achtervolgd door Amerikaanse overheid

Geplaatst op 6 januari 2020 door Ellen Timmer

Zegt de bank uw bankrekening op en weigeren banken financiële diensten, terwijl u een oppassende Europese burger bent die netjes belastingaangifte doet en betaalt? Dan bent u misschien een ‘Accidental American’, een ‘toevallige Amerikaan’, slachtoffer van het afwijkende systeem van nationaliteit en van de ruime definitie van belastingplichtige (‘US Person’) die de Verenigde Staten hanteert.

Opmerkelijk is dat de nationale Europese overheden toelaten dat hun burgers worden benadeeld door de Verenigde Staten, ondanks ondertekening van mensenrechtenverdragen en ondanks de toepasselijkheid van de Algemene Verordening Gegevensbescherming (AVG). In het Europees Parlement is wel aandacht voor de discriminerende praktijken van de Amerikanen.

 

 

 

 

De problemen van de toevallige Amerikanen komen aan de orde in de uitzending van Reporter Radio (NPO 1) van 5 januari jl.:

Europa in de bres voor ‘toevallige Amerikanen’
zondag 5 januari 2020, 19:04 uur

Banken zitten nog altijd achter Nederlanders aan die toevallig ook de Amerikaanse nationaliteit hebben omdat ze in de VS geboren zijn. Een van hen diende een klacht in tegen zijn bank. Die klacht werd onlangs behandeld bij een geschillencommissie. We doen verslag. Ook een gesprek met Europarlementariër Sophie in ’t Veld (D66).

Lees ook het artikel op de site van de NOS, Banken bevriezen rekeningen van Nederlandse toeval-Amerikanen. In dat artikel is één van die toeval-Amerikanen aan het woord:

Ronald Ariës is een van de toeval-Amerikanen en heeft een procedure aangespannen tegen zijn bank. “Ik kan niet tegen onrecht en dat is precies wat dit is. Ik heb daar niet gewoond, geen studie gevolgd, niet gewerkt, ik heb altijd in Nederland belasting betaald.” Hij vindt dat het Nederlandse ministerie van Financiën tegen de Amerikanen moet zeggen dat zij hem met rust moeten laten.

 

Meer over FATCA en de Accidental Americans
Op dit blog besteed ik al langer aandacht aan FATCA en de schending door de Verenigde Staten van financiële mensenrechten. Recent schreef ik:

Meer informatie op de algemene pagina over FATCA en de Accidental Americans op dit blog. Alle artikelen over FATCA zijn te vinden via deze tag.

Lees ook over financiële mensenrechten op dit blog, rechten die bedreigd worden door de nieuwe digitale mogelijkheden van overheden, die mogelijkheden bieden die er voorheen niet waren, waarvan FATCA een voorbeeld is.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , | Plaats een reactie

Financiële internetconsultaties

Geplaatst op 5 januari 2020 door Ellen Timmer

Mensen met belangstelling voor het financiële recht kunnen het deze maand druk hebben met internetconsultaties:

Ook in februari is het druk:

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft | Tags: , , , , , , , | Plaats een reactie

Misbruik domeinnaam-privacy door ondernemingen

Geplaatst op 4 januari 2020 door Ellen Timmer

Onlangs was ik op zoek naar het adtech bedrijf achter een internetdomein. Bij de zoektocht ontdekt ik iets bijzonders: ondernemingen kunnen via ‘privacy’ services verbergen dat zij achter internetdomeinen schuil gaan. Daar zijn privacy faciliteiten natuurlijk helemaal niet voor bedoeld. Privacy is bedoeld voor natuurlijke personen.

Diverse domeinnaam registrars melden dat zij domeinnaam-privacy, aangeduid als ‘domain privacy’ of ‘whois privacy’ aanbieden. Uit de informatie die ik tegen kwam, blijkt dat geen onderscheid wordt gemaakt tussen natuurlijke personen en entiteiten. Ook adtech bedrijven maken gebruik van deze mogelijkheid, zo lees ik in een artikel over sniper-targeting. Dat de uiteindelijk belanghebbenden achter de ondernemer-rechtspersoon niet zichtbaar zijn, vind ik niet zo spannend. Maar dat de ondernemer-rechtspersoon van wie de site is, wordt verhuld, is onjuist.

Daniel van DailyBlogTips schrijft in november 2019 dat spammers en scammers zich achter domeinnaam-privacy verbergen. Datzelfde geldt ongetwijfeld voor criminelen. Hij zegt dat een geloofwaardige onderneming niet van een dergelijke service gebruik hoort te maken.

Het is hoog tijd dat domeinnaam-privacy alleen nog mogelijk is voor natuurlijke personen en geen verhullingsmogelijkheden voor rechtspersonen en andere entiteiten biedt.

NB Uiteraard zal ontwijkingsgedrag (een onderneming registreert een domein op naam van een natuurlijke persoon om gebruik te kunnen maken van domeinnaam-privacy) moeten worden aangepakt.

 

Meer informatie:

  • Wikipedia over domain privacy.
  • Daniel, DailyBlogTips: Time to Stop Using Whois Privacy?, november 2019.
  • Artikel (pdf) over sniper-targeting door Marc Faddoul, Rohan Kapuria en Lily Lin, “Sniper Ad Targeting”, 10 mei 2019. Op pagina 15 staat: “Nonetheless, the company intentionally conceals all information about the company. The servers are registered with the WHOIS Privacy Service, an option used to keep the registrant identity private“.
Geplaatst in ICT, privacy, e-commerce | Tags: , , | Plaats een reactie

Surveillance door de banken | de ‘Transactie Monitoring Utility’

Geplaatst op 3 januari 2020 door Ellen Timmer

De privatisering van de misdaadbestrijding naar bedrijven is een van de belangrijkste ontwikkelingen van de afgelopen twintig jaar. De meest prominente sector die deze rol toebedeeld heeft gekregen, is de bankensector, die alle transacties die via banken plaats vinden moet monitoren op mogelijke criminele transacties (witwassen). Deze sector heeft daarin volgens de overheid jammerlijk gefaald en wordt daarom zelf van witwassen beschuldigd [1]. De Nederlandse banken hebben als oplossing bedacht dat zij de grote hoeveelheden financiële transacties die zij verrichten laten monitoren door een gezamenlijke rechtspersoon, die verantwoordelijk is voor een IT-systeem dat als ‘Transactie Monitoring Utility’ of ‘TM Utility’ wordt aangeduid. Daarnaast willen banken ook het cliëntenonderzoek (Know Your Customer, ‘KYC’) centraliseren.

In het Tijdschrift voor Bijzonder Strafrecht & Handhaving verscheen over de TM Utility een artikel geschreven door M. Nelemans en G.M. Verhage, met als titel ‘De Transactie Monitoring Utility: Private samenwerking in de strijd tegen witwassen’ [2]. De auteurs veronderstellen dat de centralisatie tot een kostenvoordeel voor de banken en verbetering van de kwaliteit van de transactiemonitoring zal kunnen leiden. Zij constateren terecht dat een beperking is dat de monitoring alleen door de Nederlandse banken plaats vindt en buitenlandse geldstromen buiten beeld blijven.

Waar het niet over gaat
De auteurs gaan niet in op de huidige praktijkproblemen rondom zowel de transactiemonitoring als het cliëntenonderzoek door banken. Die praktijk is dat door KYC-medewerkers soms ondeskundige vragen worden gesteld aan de klanten en dat soms met betrekking tot onschuldige transacties wordt gevraagd om allerlei bewijsstukken, met als gevolg irritatie en genereren van onnodige kosten bij die klanten. Daarin zal verbetering moeten komen, om te voorkomen dat de banken volledig van de maatschappij vervreemden.

Als zo’n centraal systeem tot stand komt, zal kwaliteitsbewaking op zeer hoog niveau moeten plaats vinden. Onder meer is nodig dat bugs en kwaliteitsproblemen in vroegtijdig stadium worden gesignaleerd en verholpen. Klanten moeten rechtstreeks kunnen klagen over de werking en de uitkomsten van het centrale systeem en correcties kunnen melden. Een volwassen geschillenbeslechtingssysteem bij de onafhankelijke gespecialiseerde rechter, maakt een en ander compleet. Dat is dan meteen een mooie gelegenheid om bij diezelfde instantie geschillen tussen banken en hun klanten over opzegging van de relatie en plaatsing op de zwarte lijst onder te brengen.

Aandachtspunt is verder dat banken nu al over diepgaande persoonlijke en zakelijke informatie over hun klanten beschikken. Gaat die informatie straks worden ingezet om te voorspellen welke personen en ondernemingen zich schuldig zullen gaan maken aan criminaliteit (predictive policing)? En zullen de banken de verleiding kunnen weerstaan om de informatie te gebruiken voor eigen commerciële doeleinden, zoals verkoop van advertenties en producten van derden?

De centrale transactiemonitoring en KYC zal in ieder geval een interessante digitale hotspot worden, die de aandacht van criminelen en grote ondernemingen zal trekken, zodat volwassen cybersecurity een vereiste is.

 

Noten

[1] Wat een makkelijke beschuldiging is omdat banken immers het witwasgeld van hun klanten onder zich hebben en iedereen die bewust of onbewust witwasgeld onder zich heeft is een witwasser.
[2] Het artikel wordt door het tijdschrift als open access ter beschikking gesteld: html, pdf.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce, Verwijzingsportaal Bankgegevens | Tags: , , , , , , , , , | Plaats een reactie

‘De burger is geen klant, de burger is een mens’ | grondrechten in een digitaal tijdperk met Tjeenk Willink, Van Zutphen en Meeus

Geplaatst op 1 januari 2020 door Ellen Timmer

In De Telegraaf verscheen een lezenswaardig interview met Herman Tjeenk Willink, ‘De burger is geen klant, de burger is een mens’. Daarin geeft Tjeenk Willink dat het huidige controle-denken van de overheid een doodlopende weg is.

Tjeenk Willink ziet als oorzaak van de huidige incidenten bij de overheid, zoals de toeslagenaffaire, dat de overheid sinds de jaren tachtig als een bedrijf werd beschouwd, dat efficiënt kon worden gemanaged, met zoveel mogelijk verzelfstandiging en privatisering van overheidstaken. Een tweede oorzaak is volgens hem dat het bereiken van economische welvaart via het bedrijfsleven voorop stond en dat allerlei thema’s werden veronachtzaamd. Een derde reden is dat de overheid de burger ziet als de afnemer van een product, waarbij van aannames wordt uitgegaan die de overheid goed uitkomen. Tjeenk Willink:

Het gaat mis als de overheid het beleid vooral stoelt op financiële argumenten en de inhoud verwaarloost. Per saldo worden de kosten dan hoger

Nationale Ombudsman: ‘De overheid is een machine geworden’.
Het door Tjeenk Willink geschetste beeld sluit aan bij de observaties van de Nationale Ombudsman, Reinier van Zutphen. Een interview met Van Zutphen werd gepubliceerd onder de titel ‘De overheid is een machine geworden’.

Meeus: politiek behandelt burgers als verdachte
Lees over de overheid als machine ook Tom-Jan Meeus, over de Tweede Kamer die al decennia zwakke burgers als verdachte behandelen ook al is er geen bewijs voor structurele groei van fraude:

het gemak waarmee hoogopgeleide politici aan gewone burgers onredelijke eisen oplegden, en daarbij hun zelfredzaamheid overschatten – zodat ze door toedoen van de overheid ook in de schulden werden gedrukt

Toekomst
Mijn wens voor 2020 is dat de overheid en de grote bedrijven en grote organisaties het machine-denken verlaten.

 

Geplaatst in Bestuursrecht, Grondrechten | Tags: , , , , , | 1 reactie

Vredige laatste dag van het jaar toegewenst

Geplaatst op 31 december 2019 door Ellen Timmer

De laatste dag van het jaar is wat mij betreft de meest deprimerende dag van het jaar, met smerige gassen, geluidsoverlast en met hulpdiensten die zich vanwege onnodige incidenten moeten inzetten op een dag die vreedzaam en vrolijk zou moeten zijn.

Daarom wens ik alle lezers een vuurwerkvrij, vredig en vrolijk Oudjaar en een mooi en voorspoedig 2020 toe!

 

Mijn wensen voor de toekomst staan in de digitale grondwet die ik eerder publiceerde.

Geplaatst in Diversen | Tags: | Plaats een reactie