Rathenau Instituut over het gevaarlijke adtech paradijs van de advertentieverkopers

Geplaatst op 21 juni 2025 door Ellen Timmer

Het Rathenau Instituut maakte op 18 juni het rapport ‘De prijs van gratis internet‘ bekend. In dat rapport beantwoordt het instituut de vragen van de vaste Kamercommissie voor Digitale Zaken van de Tweede Kamer. De commissie vroeg hen te onderzoeken hoe online tracking werkt en hoe online tracking de publieke waarden zoals privacy, autonomie en veiligheid beïnvloedt.

Het instituut constateert onder meer dat er niet veel terecht komt van de handhaving op de geldende regels, zoals de AVG, zodat advertentiebedrijven vrolijk hun gang kunnen gaan, met grote risico’s voor de internetgebruikers.

Het is jammer dat het Rathenau Instituut in de conclusies geen melding maakt van initiatieven als Public Spaces en ook niet in gaat op mogelijkheden om een aantal essentiële diensten naar de EU te halen en met overheidsondersteuning op non-profit basis te realiseren (zoals beveiligde e-mail, messaging en gespecialiseerde groepen). Dat moet Europees prima te doen zijn, aangezien de EU druk bezig is met projecten als eDelivery (veilige communicatie tussen overheidsinstellingen).

De bevindingen (zie de aankondiging):

1. Wat is online tracking en hoe werkt het?

Het ontstaan van online tracking hangt nauw samen met de ontwikkeling van het internet en de commercialisering ervan in de jaren 1990 en daarna. Wat begon met een cookie als geheugen voor gebruikerssessies, om bijvoorbeeld online winkelen mogelijk te maken, ontwikkelde zich tot een complex en ondoorzichtig systeem waarin via uiteenlopende technieken gegevens van gebruikers worden verzameld, gecombineerd, geanalyseerd en verhandeld.

De verzamelde data kunnen voor verschillende doelen worden gebruikt. In de kern gaat het om het personaliseren van online content (zoals een advertentie of tijdlijn). Het achterliggende idee is dat personalisatie leidt tot een betere matching van vraag en aanbod van producten en diensten en dus niet alleen tot hogere verkoopcijfers, maar ook tot tevreden consumenten. Het open karakter van de datahandel zorgt ervoor dat verschillende partijen toegang kunnen krijgen tot de gegevens. Dat geldt dus niet alleen voor partijen die vanuit commerciële motieven interesse hebben in de data. Zodoende maakt online tracking bijvoorbeeld ook politieke microtargeting en beïnvloeding mogelijk.

De mogelijkheden om data te verzamelen en analyseren lijken bovendien alleen maar toe te nemen. Dit beperkt zich inmiddels niet meer tot data over surfgedrag op websites, maar gaat ook over data die verkregen is via apps, wearables, games en chatbots. Nieuwe technieken en producten zorgen ervoor dat er niet alleen meer, maar ook steeds intiemere informatie kan worden vergaard, zelfs van offline activiteiten. Denk hierbij aan data over hartslag, slaap en beweging, waar vervolgens allerlei gezondheidsconclusies uit getrokken kunnen worden, die weer gebruikt kunnen worden voor het tonen van specifieke advertenties en aanbiedingen.

De verwachting is dat deze trend zich de komende jaren verder doorzet, vanwege opkomende technieken als generatieve AI, VR en neurotechnologie. Denk daarbij aan bijvoorbeeld het volgen van handbewegingen, pupilreflexen en mogelijk in toekomst breinactiviteit. Hierdoor kunnen bedrijven en diensten nog meer en gedetailleerdere informatie verzamelen en de omgeving waarin advertenties en boodschappen worden aangeboden nog verder personaliseren. Dit wordt ook wel hyperpersonalisatie genoemd.

Online tracking inmiddels uitgegroeid tot een miljardenindustrie met economische prikkels voor websites en apps, met adverteerders en met dienstaanbieders en databrokers. Deze industrie leunt sterk op de verzameling en beschikbaarheid van zoveel mogelijk data. En hoewel het tracking-ecosysteem bestaat uit een grote groep actoren, wordt het functioneren ervan in belangrijke mate gestuurd door slechts een handvol commerciële platformbedrijven.

Inmiddels is dit systeem zo complex, dat niet duidelijk is welke partijen er precies van profiteren en wie niet. Het grootste deel van de groeiende advertentiemarkt lijkt echter terecht te komen bij internationale platformbedrijven. Nederlandse mediabedrijven lijken daarentegen niet of nauwelijks van de groeiende digitale advertentiemarkt te profiteren. Bovendien blijft het lastig te bewijzen dat gepersonaliseerde advertenties effectiever zijn dan andere vormen van adverteren. Zo valt er veel af te dingen op het idee dat gepersonaliseerde advertenties in het voordeel werken van consumenten en adverteerders.

2. Wat zijn de risico’s van online tracking ten aanzien van publieke waarden?

Gratis heeft in veel gevallen toch een prijs. Een bekend gezegde rondom online tracking luidt: als je niet betaalt voor het product, bén je het product. De persoonlijke data van internetgebruikers is, in economische termen, een commodity geworden: een handelswaar waarmee door verschillende actoren in het advertentie-ecosysteem geld wordt verdiend. Het is de prijs die gebruikers betalen voor gratis online diensten.

Het feit dat grote hoeveelheden persoonlijke data van internetgebruikers toegankelijk zijn voor verschillende partijen, kent de nodige risico’s in termen van publieke waarden. Een breed scala van wetenschappelijk onderzoek laat zien dat deze risico’s spelen op zowel het individuele als het maatschappelijke niveau. Op individueel niveau raakt online tracking aan waarden als privacy, autonomie, veiligheid, gelijke behandeling en welzijn. Op maatschappelijk niveau zien we dat het vragen oproept over de nationale veiligheid, collectieve welvaart en democratie.

Hieronder bespreken we kort de verschillende publieke waarden die onder druk komen door online tracking.

Privacy
Bij online tracking hebben internetgebruikers slechts beperkt inzicht in, en controle over, de informatie die over hen verzameld wordt, met welke partijen deze gedeeld wordt en wat daar vervolgens mee gebeurt. In theorie hebben gebruikers de mogelijkheid om keuzes te maken ten aanzien van welke data ze willen delen, maar in de praktijk wordt dat het hen vaak moeilijk gemaakt. Bovendien zorgen de complexiteit van tracking en de ondoorzichtigheid van het ecosysteem ervoor dat het überhaupt de vraag is of van individuele consumenten mag worden verwacht dat zij in staat zijn om geïnformeerde keuzes te maken ten aanzien van tracking.

Autonomie
Het beïnvloeden van de opinies, keuzes en het gedrag van de ontvanger is een belangrijk doel van online tracking. Consumenten kunnen bijvoorbeeld genudged worden om bepaalde aankopen te doen. Met online tracking heeft de verkopende partij onevenredig veel kennis over de kopende partijen. In specifieke gevallen kan dat ook een negatieve invloed hebben op het welzijn van individuen, bijvoorbeeld als zij gericht benaderd worden op bepaalde zwaktes of verslavingen.

Non-discriminatie
Online tracking maakt het mogelijk om onderscheid te maken tussen persoonsprofielen zodat specifieke groepen kunnen worden bereikt. Dit kan leiden tot ongelijke behandeling. Soms gebeurt dit abusievelijk, maar het kan ook het gevolg zijn van bewuste keuzes die adverteerders maken of de mogelijkheden die platformen bieden om bepaalde groepen uit te sluiten voor bepaalde advertenties.

Persoonlijke en nationale veiligheid
Door de omvangrijke dataverzameling te combineren met andere data (aangekocht of gelekt), kunnen verschillende stukjes informatie aan elkaar worden geknoopt. Op die manier kan vaak de identiteit (naam, adres, woonplaats) van een persoon worden achterhaald. Kortom, het is steeds lastiger om anoniem te blijven. Dit kan iemands persoonlijke veiligheid in gevaar brengen, denk aan politieke vluchtelingen of militairen. Het kan uiteindelijk ook de nationale veiligheid in gevaar brengen, bijvoorbeeld als het gebruikt wordt voor spionage of chantage. Doordat verschillende (statelijke en niet-statelijke) buitenlandse actoren toegang kunnen verkrijgen tot data over burgers, is buitenlandse inmenging een serieus risico.

Democratie
Zoals we eerder al constateerden wordt online tracking ingezet om de opinies, keuzes en het gedrag van de ontvanger te beïnvloeden. Dat beperkt zich niet alleen tot advertenties met commerciële doeleinden, maar kan ook het tonen van politieke boodschappen omvatten. Zo wordt geprobeerd om burgers te beïnvloeden in hun meningsvorming, met mogelijke impact op het democratisch debat en vrije verkiezingen. Daarnaast kan het functioneren van de democratie ook geraakt worden door de optelsom van eerder genoemde publieke waarden die onder druk komen te staan door online tracking.

Economische welvaart
Het blijft lastig te meten hoe effectief gepersonaliseerde advertenties zijn ten opzichte van andere vormen van adverteren. Door de complexiteit van het advertentie-ecosysteem is het evenzeer de vraag wie nu het meest profiteren van dit systeem en wie niet. Al met al valt moeilijk empirisch hard te maken dat gepersonaliseerde advertenties daadwerkelijk effectiever zijn dan andere vormen van adverteren. Bovendien is het twijfelachtig of de huidige online-advertentiemarkt en de online trackingpraktijken die daarin een grote rol spelen, bijdragen aan de totale economische welvaart. In ieder geval blijken Nederlandse mediabedrijven niet of nauwelijks te hebben geprofiteerd van de groeiende digitale advertentiemarkt.

3. Wat zijn de juridische kaders voor online tracking?

Er bestaan meerdere lagen van wet- en regelgeving. De juridische kaders die van toepassing zijn, gaan niet noodzakelijk specifiek over online tracking, maar bieden bredere bescherming voor mensenrechten, gegevens en consumenten. Zowel de gelaagdheid als de context van de wetgeving zijn belangrijk om de nationale politieke handelingsruimte ten opzichte van online tracking te begrijpen.

Op het internationale niveau bestaan er verschillende kaders die mensenrechten moeten waarborgen. Verder heeft de Europese Unie de afgelopen decennia wettelijke kaders opgesteld om de rechten van burgers bij digitale communicatie en de verwerking van persoonsgegevens te beschermen, waaronder de Algemene Verordening Gegevensbescherming (AVG), ePrivacyrichtlijn (uitgewerkt in de Nederlandse Telecommunicatiewet), Digitale dienstenverordening (DSA), Digitale marktenverordening (DMA), AI-verordening en Verordening politieke advertenties.

Binnen de huidige juridische kaders van de Telecomwet is online tracking toegestaan, mits dit voldoet aan bepaalde vereisten. Hierbij is het van tevoren en volledig informeren van gebruikers en vragen van hun toestemming essentieel. Daarnaast gaat de AVG ervan uit dat bij online tracking persoonsgegevens worden verwerkt. Dit mag alleen als er op de juiste manier toestemming wordt gevraagd; toestemming dient geïnformeerd, vrijelijk, specifiek en ondubbelzinnig te zijn.

Voor bijzondere persoonsgegevens, zoals godsdienst, gezondheid en seksuele voorkeuren, moeten gebruikers uitdrukkelijke toestemming geven. Het moet altijd duidelijk zijn of een uiting reclame is en van welk bedrijf. Voor politieke advertenties gelden nog scherpere regels. Verder gelden er ook strenge regels rond de internationale doorgifte van data.

Ondanks deze wet- en regelgeving vindt er veelvuldig tracking plaatst die in strijd is met de wet. Apps en websites tracken soms al voordat überhaupt toestemming is verkregen, of alsnog nadat gebruikers dit hebben geweigerd. En in veel gevallen wordt er op onjuiste manieren om toestemming gevraagd via cookiebanners. Een eerste probleem is dus niet-naleving van de geldende wet- en regelgeving.

Daarnaast bestaan grijze gebieden binnen het juridische kader. Zo is er discussie of mensenrechten, zoals het recht op privacy en de vrijheid van gedachte, geweten en godsdienst, breed geïnterpreteerd kunnen worden voor de bescherming tegen beïnvloeding via online tracking (en de combinatie met technologieën als virtual reality en neurotechnologie).

Ook is voor bedrijven niet altijd helder of toestemming verplicht is. Zo is er volgens de Telecomwet geen toestemming nodig voor functionele en beperkt analytische cookies, oftewel analytische cookies met geringe gevolgen voor de privacy van gebruikers. Toezichthouders lijken echter een strengere opvatting daarvan te hanteren dan de wetgever. Bovendien ontwikkelt de techniek zich constant, waardoor het bijvoorbeeld moeilijk is in concrete richtlijnen te vatten voor welke functionaliteiten van Google Analytics toestemming verplicht is.

Er bestaat ook onduidelijkheid rondom de vraag wanneer precies sprake is van geïnformeerde, vrije en ondubbelzinnige toestemming. Dit probleem hangt deels samen met de wijze waarop door veel websites om toestemming wordt gevraagd, maar ook met de vraag of van individuele internetgebruikers überhaupt wel mag worden verwacht dat zij in staat zijn om de complexiteit van online tracking en dataverwerking te begrijpen, en zodoende een bewuste keuze te maken. Dat laatste probleem is inherent aan het consent-model.

Verder is vaak sprake van een machtsverschil tussen aanbieder en gebruiker, wordt toegang tot een dienst afhankelijk gemaakt van toestemming (met cookiemuren waaronder pay-or-okay-modellen), en wordt niet altijd voor alle dataverwerking en doeleinden afzonderlijk toestemming gevraagd.

Ook is het de vraag of gebruikers via cookiebanners hun voorkeuren ondubbelzinnig kunnen uitdrukken, aangezien het vaak (visueel) gemakkelijker is om te accepteren en lastiger om te weigeren door zogenaamde dark patterns.

Een juridisch kader vraagt tot slot om afdoende toezicht en handhaving. Dit verloopt deels via een getrapt systeem waarbij er op EU-niveau moet worden samengewerkt. Binnen Nederland is er nog een werkverdeling tussen AP en ACM (hoewel er een voorstel bij de Tweede Kamer ligt om het toezicht op de AVG volledig bij de AP te beleggen). Het huidige systeem is in de praktijk niet altijd even efficiënt. Binnen de EU geldt dat de lidstaat waar een bedrijf is gevestigd de toezichthouder levert. Dit zorgt voor een forse belasting van met name de Ierse toezichthouder, waar veel techbedrijven zijn gevestigd. De capaciteitskwestie speelt echter ook in Nederland. AP en ACM moeten tienduizenden apps en websites bekijken met beperkte middelen. In de praktijk kan de AP dus slechts sporadisch optreden en boetes uitdelen. Het is bovendien de vraag of boetes een voldoende afschrikmiddel zijn voor kapitaalkrachtige bedrijven, die volgens verschillende gerechtelijke uitspraken herhaaldelijk de wet hebben overtreden.

Kortom, de huidige wet- en regelgeving biedt houvast om internetgebruikers te beschermen tegen de nadelige effecten van online tracking, maar uit onze analyse komt ook een aantal onduidelijkheden en knelpunten naar voren. Deze knelpunten en onduidelijkheden gelden voor de bescherming van de rechten van internetgebruikers en voor de uitvoerbaarheid en handhaving van de wettelijke kaders. Deze aspecten beperken de effectiviteit van bestaande wetgeving.

4. Wat zijn alternatieven voor online tracking?

Er zijn op dit moment geen kant-en-klare alternatieven die het huidige complexe systeem kunnen vervangen. Wel zijn er verschillende instrumenten om de nadelen van online tracking tegen te gaan en publieke waarden te versterken. Niet elk van deze opties is geschikt voor iedere gebruiker, website of app. Soms is de juridische status nog onduidelijk (zoals rondom het pay-or-okay-model) en in veel gevallen blijft er een bepaalde mate van tracking bestaan. We stippen de alternatieven hier kort aan.

Individuele gebruikers kunnen meer autonomie en privacy verkrijgen via het aanscherpen van privacy-instellingen, door voor andere browsers en zoeksystemen te kiezen, en door het instellen van advertentie- en trackingblockers. Dit maakt voor gebruikers individueel een verschil, maar verandert weinig aan het systeem van online tracking als geheel.

Daarnaast beperken browsers steeds meer het gebruik van third-partycookies. Dat betekent maar ten dele dat privacy beter gewaarborgd is, want er vindt nog steeds tracking plaats, maar dan met name via first-partycookies of andere vormen van tracking. Tevens worden alternatieven voor de functionaliteit van third-partycookies ontwikkeld, zoals Google’s Privacy Sandbox. Dit maakt browsers nog belangrijker binnen online tracking. Het vergroot ook de macht van bedrijven die minder afhankelijk zijn van third-partycookies, zoals Google en Facebook, en bedrijven die speler zijn binnen online tracking én browsers ontwikkelen, zoals Google en Apple. Bovendien beschermt deze ontwikkeling niet tegen andere vormen van tracking, zoals fingerprinting.

Websites en apps kunnen ook zonder online tracking en zonder targeted advertising inkomsten genereren. Eén zo’n vorm is contextueel adverteren. Hierbij worden advertenties gematcht met de content op platformen, in plaats toegesneden op de individuele gebruiker door middel van online-tracking-dataprofielen. Dit model biedt mogelijk uitkomsten voor het verdienmodel van websites en apps. Maar ook voor gebruikers, omdat tracking voor targeting advertising dan overbodig wordt. Het is echter de vraag of alle adverteerders bereid zullen zijn om over te stappen. Hierover bestaan zowel succesvolle als minder succesvolle voorbeelden.

Een ander inkomstenmodel is betalen voor diensten. Er bestaan twee varianten die niet met elkaar verward moeten worden. In de eerste plaats gaat het om pay-or-nay-modellen. Hierbij hebben gebruikers de keuze tussen betaalde toegang tot een dienst zonder tracking of geen toegang tot de dienst. Dit model kennen we van de offline wereld en is juridisch toegestaan. In de tweede plaats gaat het om pay-or-okay-modellen. Hierbij hebben gebruikers de keuze tussen betalen voor de dienst zonder tracking, of getrackt worden met gepersonaliseerde content. De Europese Commissie heeft in een recente uitspraak bepaald dat pay-or-okay voor de grote zes DMA-poortwachters niet is toegestaan. De vraag is of dit voor overige platformen en websites wel mag.

Een derde alternatief is het bekostigen van websites en apps via donaties. De krant The Guardian, de communicatieapp Signal, de online encyclopedie Wikipedia, en het microblogplatform Mastodon zijn voorbeelden. Veel van deze diensten gebruiken vrijwel geen tracking en zijn in beperkte mate of niet afhankelijk van advertenties. Dit verdienmodel is niet op alle websites en apps toepasbaar en is niet per se een optie voor alle gebruikers. Voor Signal en Mastodon hangt bruikbaarheid voor gebruikers ook af van het overstappen van contacten.

Verder zijn er privacy-vriendelijkere systemen in ontwikkeling waar individuele gebruikers meer zeggenschap hebben over hun data en toestemming om data te gebruiken. Deze worden vaak aangeduid als Personal Information Management Systems (PIMS’en). PIMS’en geven gebruikers decentrale opties voor inloggen, consent geven en de opslag van data, meestal via de browser. Het vereist echter meer standaardisering van ontwikkelaars en kennis bij gebruikers om PIMS’en als volwaardig alternatief in te zetten. En hoewel gebruikers meer controle hebben over hun data wordt deze nog steeds gedeeld en ingezet voor personalisatie. Bovendien geldt ook hier de vraag hoeveel kennis en verantwoordelijkheid bij de gebruiker kan worden gelegd.

 

Meer informatie:

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , , , , | Plaats een reactie

De meeste reacties op de EBA-consultatie over antiwitwasregels komen van bedrijven met witwasbestrijdingstaken | enkele reacties namens klanten

Geplaatst op 20 juni 2025 door Ellen Timmer

Onlangs sloot de consultatie van de Europese Banken Autoriteit (EBA) over een deel van de nieuwe Europese antiwitwasregels. Inmiddels heeft de EBA de consultatiereacties bekend gemaakt en is duidelijk dat hoofdzakelijk is gereageerd door of namens bedrijven met witwasbestrijdingstaken, zoals banken, andere financiële instellingen en accountants.

Het is een kwaal van veel Europese wetgeving dat er krachtig wordt gelobbyd en gereageerd door grote(re) partijen, zoals brancheorganisaties en grote bedrijven en organisaties. De stem van de gewone burger en het midden- en kleinbedrijf wordt niet gehoord.

Wie komt er op voor de burger?
Ook Privacy First deed aan de consultatie mee, ik schreef er over en zij was een van de weinige clubs die aandacht vroeg voor de gevolgen van de privatisering van de misdaadbestrijding voor de klanten van de witwasbestrijdingsplichtigen (zoals consumenten, midden- en kleinbedrijf, non-profit).
Enkele andere organisaties die kwamen ook voor de belangen van klanten, zoals:

Het is jammer dat allerlei Europese en nationale organisaties die opkomen voor burgerrechten, zoals bijvoorbeeld Finance Watch, geen interesse tonen voor deze thematiek.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , , , , , , , , , | Plaats een reactie

Nieuw bancair sleepnet in voorbereiding? | Human Rights in Finance.EU | AML/CFT

Geplaatst op 19 juni 2025 door Ellen Timmer

Enige tijd geleden is het experiment van vijf Nederlandse banken (met een groot deel van de Nederlanders in hun klantenbestand) om samen alle transacties te monitoren en analyseren afgeblazen (zie de artikelen over TMNL). Ondanks kritiek van de Raad van State en de Autoriteit Persoonsgegevens wordt in stilte op basis van de nieuwe Europese antiwitwasregels en financiële regels [1] een nieuw bancair sleepnet voorbereid.

Human Rights in Finance.EU probeert de onderste steen boven te krijgen ten aanzien van het bancaire sleepnet, zo valt te lezen in het artikel Herstart monitoring per 2026? HRIF.EU verzoekt rechter met spoed DNB-documenten vrij te doen geven!, naar aanleiding van een aankondiging:

Op 14 mei 2025 kondigde het kabinet aan dat in 2026 een nieuwe pilot voor gezamenlijke transactiemonitoring van start gaat, in samenwerking met De Nederlandsche Bank (DNB), FIU-Nederland, de Nederlandse Vereniging van Banken (NVB) en opsporingsdiensten.

Het voornemen sluit aan bij het Europese voornemen om criminele geldstromen te volgen [2], wat moet betekenen dat alle transacties (dus ook van niet-criminelen) geanalyseerd zullen gaan worden.

HRIF.EU eindigt het artikel met grote zorgen:

Het is tijd dat DNB de stukken openbaar maakt en verantwoording aflegt. Waarom werden burgers en bedrijven jarenlang onrechtmatig gemonitord? Waarom bleef DNB passief terwijl grondrechten werden geschonden? En hoe gaat DNB ervoor zorgen dat de nieuwe pilot wél aan de wet voldoet?

 

 

Noten:

[1] Waarschijnlijk gebaseerd op artikel 75 AMLR (artikel) en op de ruimte die PSD3 en de Payment Services Regulation (PSR) zullen gaan bieden (artikel december 2023, artikel augustus 2023, artikel deze maand).
[2] In aantocht: nieuw EU-systeem om criminele geldstromen en terrorismefinanciering te kunnen volgen | AML, CFT, mei 2025.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , | Plaats een reactie

Wetsvoorstel: bank mag een transactie bevriezen bij misdaadvermoedens zonder de klant meteen te informeren – amendement

Geplaatst op 19 juni 2025 door Ellen Timmer

Vooruitlopend op Europese regelgeving heeft de Nederlandse wetgever in het wetsvoorstel versterking strafrechtelijke aanpak ondermijnende criminaliteit II [1] een bepaling [2] verstopt, die het banken mogelijk maakt om in opdracht van FIU Nederland transacties te bevriezen als misdaad wordt vermoed.

Amendement: rekeninghouder moet binnen 24 uur geïnformeerd worden
Lid van de Tweede Kamer Six Dijkstra heeft een amendement ingediend, waarin hij verzoekt op te nemen in de  bepaling dat de rekeninghouder binnen 24 uur wordt geïnformeerd:

In artikel V, onderdeel A, wordt in het voorgestelde artikel 17a, zesde lid, “op diens verzoek” vervangen door “binnen 24 uur”.

Zijn toelichting op het amendement luidt (voetnoten met url’s zijn in de tekst verwerkt):

Het wetsvoorstel versterking strafrechtelijke aanpak ondermijnende criminaliteit II beoogt de Financiële inlichtingen eenheid (FIU) onder de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) de bevoegdheid te geven om een bank een transactie maximaal vijf werkdagen te laten bevriezen, als er aanwijzingen zijn dat de betreffende transactie verband houdt met witwassen of terrorismefinanciering. De bank is verplicht de rekeninghouder op diens verzoek te informeren over de bevriezing en het feit dat het wettelijk gevolg geeft aan een eis van de FIU.

Indiener is kritisch op de toenemende ‘push-button power’ of drukknopmacht van de staat. De digitale transformatie van de samenleving heeft ertoe geleid dat de overheid op veel vlakken veel machtiger tegenover haar burgers staat dan in het verleden überhaupt technisch mogelijk was, bijvoorbeeld als het gaat om het kunnen controleren en blokkeren van financiële geldstromen van burgers. Ook heeft de beschikbaarheid en inzet van digitale technologie geresulteerd in scheefgroei van de machtsverdeling binnen de trias politica, daar dit de macht van de regering ten opzichte van de rechtspraak en het parlement onevenredig vergroot heeft [*]. Indiener is derhalve van mening dat drukknopmacht enkel uitgebreid zou moeten mogen worden wanneer hier volwaardige rechtsstatelijke waarborgen tegenover staan.

Hoe dit in een westerse democratie mis kan gaan, is onder andere gebleken bij de zogeheten ‘trucker protests’ in Canada in 2022, een reeks coronademonstraties naar aanleiding waarvan de Canadese premier de noodtoestand had uitgeroepen. Hierbij droeg hij banken op om eigenstandig de rekeningen te bevriezen van personen die deelnamen aan deze demonstraties, dan wel van personen die deelnemers financieel ondersteunden. Dit vond plaats zonder verdere controlemechanismen die konden voorkomen dat mensen onterecht niet bij hun financiële middelen konden komen. Achteraf heeft de Canadese rechtbank geoordeeld dat het handelen van de premier ‘niet gerechtvaardigd was in relatie tot de relevante feitelijke en juridische beperkingen die in aanmerking hadden moeten worden genomen’. Indiener is van mening dat dergelijk ingrijpend en disproportioneel regeringsoptreden zeer schadelijk is voor het vertrouwen van burgers in de overheid. Het is daarom zaak om vergelijkbare situaties in Nederland te voorkomen.

Onder voorliggend wetsvoorstel ligt de juridische drempel voor het kunnen blokkeren van een transactie met het hoeven aantonen van een ‘aanwijzing’ voor een verband met witwassen of terrorismefinanciering door de FIU, relatief laag. Er is daarnaast geen externe toestemmings- of toetsingsprocedure ingeregeld voor de inzet van deze bevoegdheid door de FIU. Vanuit het perspectief van snel en wendbaar kunnen acteren op ondermijnende criminaliteit is deze keuze volstrekt begrijpelijk. Echter, wanneer een transactie vijf werkdagen lang onterecht bevroren blijkt, kan dit voor veel burgers ingrijpende gevolgen hebben, bijvoorbeeld als deze vijf werkdagen de periode tussen het storten van het salaris en het betalen van de huur beslaat.

In het kader van rechtszekerheid stelt indiener voor om banken te verplichten om de rekeninghouder actief en binnen 24 uur te informeren over het feit dat gevolg is gegeven aan een eis van de FIU. Dit stelt de rekeninghouder in staat om tijdig stappen te ondernemen indien hij denkt dat een transactie onterecht is bevroren. Dit versterkt in de ogen van indiener de rechtspositie van de burger ten opzichte van de overheid.

[*] Zie bijvoorbeeld: R. Passchier, ‘Artificiële intelligentie en de rechtsstaat’ (2021)

Praktijkgeval
In de praktijk houden Nederlandse banken al transacties achter zonder de klant te informeren. Mij is een geval bekend van iemand wiens transacties door een grootbank maandenlang werden achter gehouden en die daar over bij het Kifid heeft geprocedeerd (de zaak is geschikt zodat er geen uitspraak is gekomen).

 

 

Noten:

[1] Zie dossier overheid.nl / dossier Tweede Kamer
[2] Het voorgestelde artikel:

De Wet ter voorkoming van witwassen en financieren van terrorisme wordt als volgt gewijzigd:

A Na artikel 17 wordt een artikel ingevoegd, luidende:

Artikel 17a
1. De Financiële inlichtingen eenheid kan ten behoeve van de uitvoering van de taak, bedoeld in artikel 13, aanhef en onderdelen a en b, een bank verzoeken het uitvoeren van een transactie of meerdere transacties gedurende een periode van ten hoogste vijf werkdagen aan te houden ingeval de Financiële inlichtingen eenheid aanwijzingen heeft dat deze transactie of transacties verband kan of kunnen houden met witwassen of financieren van terrorisme, of indien een financiële inlichtingen eenheid uit een andere staat hierom verzoekt.
2. De in het eerste lid genoemde periode kan met een termijn van ten hoogste vijf werkdagen worden verlengd indien de Financiële inlichtingen eenheid het in het eerste lid bedoelde verzoek doet op verzoek van een financiële inlichtingen eenheid van een andere staat.
3. De Financiële inlichtingen eenheid trekt het verzoek, bedoeld in het eerste lid, voor het aflopen van de termijn, genoemd in het eerste en tweede lid, in zodra zulks mogelijk is.
4. De bank waaraan overeenkomstig het eerste lid een verzoek is gedaan, geeft hieraan onverwijld gevolg.
5. Een bank beschikt over gedragslijnen, procedures en maatregelen die haar in staat stellen te voldoen aan het vierde lid.
6. Een bank informeert een cliënt op diens verzoek over toepassing van het vierde lid.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft | Tags: , , , , | Plaats een reactie

Europese raad bereikt overeenstemming over PSD3 en PSR

Geplaatst op 18 juni 2025 door Ellen Timmer

De Raad van de Europese Unie maakte bekend dat er binnen de Raad overeenstemming is bereikt over het onderhandelingsstandpunt inzake de betaaldienstenverordening – Payment Services Regulation (PSR) – en de nieuwe betaaldienstenrichtlijn – Payment Services Directive (PSD3).

Aankondiging

In de aankondiging staat onder meer dat gegevensdelen door financiële instellingen (FI’s) wordt vergemakkelijkt, dat is iets waar Nederland om heeft gevraagd (zie tweede alinea van het citaat hierna). Ook het verzoek van FI’s om gegevens te mogen delen met telecombedrijven en de asociale media (zie derde alinea van het citaat hierna) wordt gehonoreerd.

Lees de aankondiging (machinevertaling, markering door mij) met onder meer:

Betalingsfraude aanpakken en consumentenbescherming en transparantie verbeteren

De voorstellen beogen de invoering van een alomvattend kader voor fraudebestrijding. Dit kan helpen om de steeds vaker voorkomende nieuwe vormen van betalingsfraude aan te pakken, zoals zogeheten ‘spoofing’-fraude, waarbij een fraudeur zich voordoet als de betalingsdienstaanbieder van een klant om vertrouwen te winnen en de gebruiker te verleiden tot het uitvoeren van financiële handelingen.

Betalingsdienstaanbieders zullen onder meer onderling informatie over fraude moeten uitwisselen en een systeem moeten opzetten waarbij IBAN-nummers kunnen worden gecontroleerd aan de hand van de naam van een overeenkomstige bankrekening voordat er geld naar wordt overgemaakt.

Het onderhandelingsmandaat van de Raad versterkt de fraudebestrijdingsaspecten van de voorstellen door aanbieders van elektronischecommunicatiediensten zoals internetcarriers en messagingplatforms in het toepassingsgebied van de fraudepreventie op te nemen. Het bepaalt duidelijker dat consumenten niet benadeeld mogen worden als gevolg van frauduleus gedrag en benadrukt dat de nieuwe wetgeving nauw moet aansluiten bij de EU-wetgeving inzake gegevensbescherming.

De nieuwe regels zorgen ook voor meer transparantie bij geldautomaattransacties, waarbij alle verschuldigde kosten en wisselkoersen moeten worden vermeld voordat een transactie plaatsvindt. De Raad heeft nog meer bepalingen ingevoerd om de transparantie over vergoedingen en regels voor betaalkaartsystemen te vergroten. In het algemeen zullen consumenten en bedrijven in de EU een beter overzicht hebben van de toepasselijke vergoedingen en daardoor betere keuzes kunnen maken.

Nieuwe technologische ontwikkelingen

De voorstellen hebben ook tot doel het betalingsdienstenlandschap van de EU aan te passen aan nieuwe en innovatieve manieren om betalingen te verrichten. Innovatieve betalingsinitiatiedienstaanbieders en informatiedienstaanbieders zullen hun klanten nuttiger en modernere betalingsdiensten kunnen aanbieden dankzij hun verbeterde toegang tot alle noodzakelijke bankrekeninginformatie. In het standpunt van de Raad wordt innovatie in de betalingsdienstensector weliswaar gesteund, maar wordt ook gepleit voor het inbouwen van waarborgen op dit gebied.

Artikelen uit het PSR-voorstel over criminaliteitsbestrijding en gegevensbescherming

Hierna volgen enkele bepalingen uit het PSR-voorstel.

In het PSR voorstel zit een artikel over samenwerking ter bestrijding van fraude en dergelijke, zie:

Article 59a Cross-sectoral cooperation for the purpose of fraud prevention and detection

1. For the purpose of preventing and detecting fraud, including that referred to in Article 59(1), providers of ‘electronic communications services’ as defined in Article 2(4), point (b), of Directive (EU) 2018/1972 shall have in place measures to ensure effective cooperation with payment service providers, having regard to the technical characteristics of each of their services.

For the purpose of the first subparagraph, without prejudice to Directive (EU) 2022/2555, Directive 2002/58/EC or Article 91 of this Regulation, electronic communications services providers shall establish dedicated communication channels with payment service providers, or participate in a system for effective communication, or in an information sharing mechanism, to allow for faster and more effective sharing of any information that could be useful in the prevention and detection of fraud within the meaning of this Regulation and in compliance with Regulation (EU) 2016/679 and Directive 2002/58/EC.

Personal data should only be processed to the extent strictly necessary for the establishment of such communication channels and should be subject to robust safeguards in conformity with Regulation (EU) 2016/679 in relation to confidentiality, data protection and use of information.

2. The Commission and the European Board of Digital Services shall encourage and facilitate the drawing up of a voluntary code of conduct at Union level to foster prevention, enhance security and combat payment fraud and financial scams, under the conditions set out in Article 45 of Regulation 2022/2065.

3. Electronic communications services providers as defined under Article 2(4), point b of the Directive (EU) 2018/1972 shall take all reasonable organizational and technical measures to detect and prevent fraud within their sphere of competence, in accordance with applicable Union and national law.

Zie over de weigering van een transactie (onverlet artikel 71 AMLR):

Article 65 Refusal to execute a payment order

1. Where all of the conditions set out in the payer’s framework contract are met, and without prejudice to the obligation to refrain from executing the transaction under article 71 AMLR, the payer’s payment service provider shall not refuse to execute an authorised payment transaction, irrespective of whether the payment order is placed by a payer, including through a payment initiation service provider, or by or through a payee, unless relevant Union or national law provides otherwise.

1.a By way of derogation from paragraph 1 and without prejudice to the obligation to refrain from executing the transaction under Article 71 AMLR, the payer’s payment service provider shall refuse to execute a payment transaction under the conditions provided for in this paragraph.
Without prejudice to Article 69(1), where, based on the transaction monitoring referred to in Article 83 or on any other relevant information available to the payment service provider, the payer’s payment service provider has duly justified and reasonable grounds to suspect that the transaction is fraudulent, the payer’s payment service provider shall suspend the execution of a payment transaction.
Without undue delay from the suspension of the transaction, unless prohibited by other relevant Union or national law, the payment service provider shall notify the payer, in an agreed manner, of any information or action needed from the payer to enable the payment service provider to assess, whether the reasons for such suspension are still justified. The notification shall give the payer sufficient information to enable the payer to understand the risks that the payment service provider has identified. Within the timelines specified in Article 69(1), the payment service provider shall make all reasonable efforts to contact the payer before taking a decision regarding the suspended transaction.
The obligation in the previous subparagraph shall not apply in the case of instant credit transfers. In such cases or where it has not been possible for the payer’s payment service provider to receive infromation from the payer within the timelines specified in Article 69(1), the payment service provider shall assess, based on the transaction monitoring referred to in paragraph 1, and on any other relevant information available to the payment service provider, whether or not to execute the payment order.
For the purpose of this Regulation, the fact that a payment order is unusual shall not by itself constitute reasonable grounds to suspect fraud.

2. Where, on the basis of the assessment in paragraph 1a, the payment service provider refuses to execute a payment order or to initiate a payment transaction, the payer’s payment service provider shall notify the payer and, where applicable, the payment initiation service provider, of the refusal and, the reasons for that refusal and the procedure for correcting the decision to refuse to execute the transaction, unless prohibited by other relevant Union or national law.
The payment service provider shall provide the notification in an agreed manner
and without undue delay, and in any case within the periods specified in Article 69. In the case of instant credit transfers, the payer’s payment service provider shall provide the notification of the refusal within 10 seconds of the time of receipt of the payment order by the payer’s payment service provider, and provide the reasons for the refusal without undue delay, unless prohibited by other relevant Union or national law.
The framework contract may include a condition that the payment service provider may charge a reasonable fee for such a refusal if the refusal is objectively justified, but not in the case of a refusal due to a suspected fraudulent transaction.

3. For the purposes of Articles 69 and 75 a payment order whose execution has been refused shall be deemed not to have been received.

Zie voorts artikel 69 lid 2a. over het achterhouden van een transactie:

2a. By way of derogation from paragraph 2 and without prejudice to the obligation to refrain from executing the transaction under article 71 AMLR, if, based on the transaction monitoring referred to in Article 83 or on any relevant information available to the payment service provider, there are reasonable grounds to suspect a fraudulent payment transaction, the payee’s payment service provider may postpone making the funds available to the payee. The payee’s payment service provider shall, without undue delay and within a maximum of two working days from the discovery of the suspicion, assess whether the reasons for such postponement are still justified. Moreover, without undue delay after the discovery of the suspicion, the payee’s payment service provider shall notify the payer’s payment service provider and the payee of the assessment that is being conducted, unless prohibited by other relevant Union or national law, in order to allow both the payee and the payer to express their views and where necessary, to contest the decision to postpone making the funds available. On the basis of this assessment, the payee’s payment service provider shall either make the funds available to the payee or, if the transaction is deemed fraudulent, return the funds to the payer’s payment service provider.

Zie over dat onderwerp ook artikel 110c:

Article 110c Amendment to Regulation (EU) No 2024/886

Article 5a is amended as follows:
The following paragraph 6a is inserted:

‘6a. In order to prevent fraud and in accordance with Regulation (EU) xxxx of the European Parlament and of the Council of xxx on payment services in the internal market and amending Regulation (EU) No 1093/2010, the payment service provider may decide not to execute the instant credit transfer, upon careful assessment of the risk of fraud and damage.’ In such case, the payer and, where applicable, the payment initiation service provider, shall be notified by the payment service provider of the payer within 10 seconds of the time of receipt of the payment order for an instant credit transfer by the payer’s PSP and, in accordance with paragraph 5, the payment service provider of the payer shall immediately restore the payment account of the payer to the state in which it would have been had the transaction not been initiated.’

Op grond van artikel 80 van het voorstel mogen betaaldienstverleners bijzondere persoonsgegevens verwerken:

Article 80 Data protection

Payment systems and payment service providers shall be allowed to process special categories of personal data as referred to in Article 9(1) of Regulation (EU) 2016/679 and Article 10(1) of Regulation (EU) 2018/1725 to the extent necessary for the provision of payment services and for compliance with obligations under this Regulation, in the public interest of the wellfunctioning of the internal market for payment services, subject to appropriate safeguards for the fundamental rights and freedoms of natural persons, including the following:

(a) technical measures to ensure compliance with the principles of purpose limitation, data minimisation and storage limitation, as laid down in Regulation (EU) 2016/679, including technical limitations on the re-use of data and use of state-of-the-art security and privacy-preserving measures, including pseudonymisation, or encryption;
(b) organizational measures, including training on processing special categories of data, limiting access to special categories of data and recording such access.

Artikel 83 gaat over transactiemonitoring:

Article 83 Transaction monitoring mechanisms

Payment service providers shall have transaction monitoring mechanisms in place that:

(a) support the application of strong customer authentication in accordance with Article 85;
(b) exempt the application of strong customer authentication based on the criteria under Article 85(11), subject to specified and limited conditions based on the level of risk involved, the types and details of the data assessed by the payment service provider;
(c) enable payment service providers to prevent and detect potentially fraudulent payment transactions, including transactions involving payment initiation services.

1a. The payment service provider of the payer shall carry out the transaction monitoring referred to in paragraph 1 prior to the execution of a payment transaction. Without prejudice to Article 69(2), the payment service provider of the payee shall also carry out transaction monitoring of received payment transactions.
Where such monitoring does not take place in a specific transaction, the payment service provider shall bear liability for the damage incurred. The payer shall not bear any financial consequences from that specific transaction, except where the payer has acted fraudulently.
The burden to prove that there was no breach of this Article shall be on the payment service provider.

1b. Without prejudice to this Article, the provisions of Chapter 4 of this Regulation are applicable in cases when the payment service user is entitled to a refund from the payment service provider of a fraudulent payment transaction based on the liability shift in this Article.

2. Transaction monitoring mechanisms shall be based on the analysis of previous payment transactions and access to payment accounts online. Processing by the payment service provider of the payer shall be limited to the following data, insofar as necessary to achieve required for the purposes referred to in paragraph 1:

(a) information on the payment service user payer, including the environmental and behavioural characteristics which are typical of the payment service user payer in the circumstances of a normal use of the personalised security credentials;
(b) information on the payment account, including the payment transaction history;
(c) transaction information, including the transaction amount, payment instrument, if applicable, currency, date and time of execution, as well as and unique identifier of the payee;
(d) session data, including the device internet protocol address-range from which the payment account has been accessed, from which the transaction was initiated and from which the transaction was authenticated.;
(e) device data, including device identifiers from which the transaction was initiated and from which the transaction was authenticated.

Processing by the payment service provider of the payee shall be limited to the following data, insofar as necessary to achieve the purpose referred to in paragraph 1, as applicable:

(a) information on the payee;
(b) information on the payment account of the payee, including the payment transaction history;
(c) transaction information, including the transaction amount, payment instrument, if applicable, currency, date and time of execution, as well as the name of the payer;
(d) session data;
(e) device data, including device identifiers.

Article 83a Fraud data sharing

1. Payment service providers shall exchange data with other payment service providers who are subject to an information sharing arrangement as referred to in paragraph (3) to the extent strictly necessary to comply with their obligations in Article 83(1), point (c), where the payment service provider has reasonable and objective grounds to suspect fraudulent behaviour by a payment service user. The catalogue of data to be shared shall be limited to the data listed in Article 83(2), including the payment service provider’s account of the reasonable and objective grounds that gave rise to the suspicion of fraudulent behaviour on basis of that data. Information on the environmental and behavioural characteristics which are typical of the payer in the circumstances of a normal use of the personalised security credentials shall be excluded from data sharing under this Article.

1a. Payment service providers shall implement appropriate technical and organisational measures, including measures to allow pseudonymisation, to ensure a level of security and confidentiality proportionate to the nature and extent of the information exchanged.

2. Payment service providers shall not keep data obtained following the information exchange referred to in this paragraph and paragraph 1 for longer than it is necessary for the purposes laid down in Article 83(1a) but no longer than 5 years after the suspected fraudulent transaction has taken place.

3. The information sharing arrangements shall specify the details of participation and the details of operational elements, including the use of dedicated IT platforms. Before concluding such arrangements, payment service providers shall jointly carry out a data protection impact assessment in accordance with Article 35 of Regulation (EU) 2016/679 and, where applicable, prior consultation of the supervisory authority in accordance with Article 36 of that Regulation.

Waarom ontbreekt lid 4?

5. Payment service providers shall not rely solely on the information received in the context of the data sharing referred to in para. 1 to comply with the requirements of this Regulation and shall not draw conclusions or take decisions that have an impact on the business relationship with the payment service user or on the execution of a payment transaction on the basis of information received from other payment service providers who are subject to an information sharing arrangement without having assessed that information.

6. For the purposes of this Article, Member States shall ensure that appropriate measures are in place so that the payment service providers are also able to share the data referred to in paragraph 1 with the relevant national authorities in accordance with national law.

Article 83b Platform on combatting fraud

1. The Commission shall establish a Platform on combatting fraud in the area of payments services in the Union (the ‘Platform’). Its composition shall be a broad and balanced mix of representatives and experts from both the public and private sectors, who have proven knowledge and experience in the field of payment services fraud.

2. The Platform shall:
(a) advise the Commission on developing and monitoring the implementation of legal acts aimed at combatting fraud in the area of payment services;
(b) issue recommendations to the Commission and the European Board of Digital Services for the purpose of the drawing up of the voluntary code of conduct referred to in Article 59a(3);
(c) share information on and analyse trends in fraud in the area of payment services;
(d) share information on measures to combat fraud in the area of payments services, including mitigation measures;
(e) share information on ways to improve cross-border and cross-sectoral cooperation on the means of combatting fraud in the area of payment services.

3. The Platform shall be chaired by the Commission and constituted in accordance with the horizontal rules on the creation and operation of Commission expert groups.

4. The Platform shall report annually on its activities to the European Parliament and the Council.

In artikel 91 van het PSR-voorstel zijn bepalingen opgenomen over de bevoegdheden van autoriteiten in verband met opsporing en handhaving, onder meer het mogen betreden van woningen en bedrijfsruimten (lid 5 sub (d)), het opvragen telecomgegevens (lid 5 sub (e)), het in beslag nemen van vermogensbestanddelen ( (lid 5 sub (f)), het beperken van toegang tot online interfaces en dergelijke (lid 5 sub (h)), het verbieden van aanbod van diensten (lid 5 sub (i)), openbaarmaking van de maatregelen (lid 5 sub (o) en (r)) en het publiek informeren (lid 5 sub (q)).

In artikelen 96 tot en met 99 zijn pittige sancties opgenomen, die ook uit periodieke betalingen kunnen bestaan (artikel 98).

Tot slot

Om de preciese betekenis van de voorstellen te overzien is nadere studie nodig. De volgende opmerkingen kunnen al gemaakt worden.

Risico voor wederpartijen
De vergemakkelijkte toegang tot bankrekeninginformatie (de laatste alinea in het citaat uit de aankondiging) kan risico’s opleveren voor de wederpartijen bij de transacties van degene die toestemming geeft.
Voorbeeld daarvan (noemde ik al eerder) is de rekeninghouder  – bijvoorbeeld een supermarkt – die zijn rekening openstelt voor ‘innovatieve’ techbedrijven, die vervolgens met de gegevens van de klanten van de supermarkt aan de haal kunnen gaan.

Nieuwe kans voor het bancaire sleepnet?
Het is interessant om te zien of via de weg van PSR en PSD3 het bancaire sleepnet (met gezamenlijke transactiemonitoring) mogelijk zal worden gemaakt, mogelijk in combinatie met de faciliteiten die in het AML Package zijn opgenomen.
Zo’n financiële surveillance staat op gespannen voet met de grondrechten van Europese burgers, zoals onder meer vastgelegd in de AVG en het Handvest.

 

Meer informatie:

Eerdere artikelen over PSR en PSD3
In 2023 schreef ik over het pakket waar deze twee voorstellen deel van uitmaken, waarvan ook het open finance voorstel – Regulation on a framework for financial data access (FIDA Regulation) – deel uitmaakt, lees ook dit. Het persbericht van vandaag gaat daar niet over.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft | Tags: , , , , , , , , , , , , , , , , | 1 reactie

Human Rights in Finance.EU adviseert dit najaar te stemmen op een partij die de grondrechten serieus neemt

Geplaatst op 17 juni 2025 door Ellen Timmer

In dit artikel pleit Human Rights in Finance.EU (HRIF.EU) om bij de keuze voor een partij om op te stemmen niet te kijken naar de partijprogramma’s of mooie woorden, maar naar de track record van de partij:

Check niet de intenties, check het programma en de track record van partijen rond mensenrechten en hun steun (of uitblijven van steun) aan situaties en veroordeling van genocides. Kijk naar wie consequent opkomt voor mensenrechten, bescherming van minderheden en toetsing aan de rechtsstaat – en stem daar op.

Het wordt tijd dat het handelen van politieke partijen met artificial intelligence wordt gemonitord en geanalyseerd, al rept HRIF.EU daar niet over.

Terecht merkt HRIF.EU op dat digitalisering de mens tot datapunt reduceert:

De opmars van kunstmatige intelligentie en de macht van Big Tech dreigen het primaat van de menselijke maat volledig te verdringen. Burgers worden gereduceerd tot datapunt, compliance wordt ondergeschikt aan politiek of technocratisch opportunisme. De logica van sancties en witwasregimes is niet meer objectief, maar volgt geopolitieke grillen. Het idee dat we met nog meer massamonitoring effectiever boeven kunnen vangen laat onbesproken wat er gaande is. Een versnelde invoering van de surveillance staat waarin de machine onzichtbaar het leven mensen bepaalt, blokkeert en niemand zich ter verantwoording laat roepen.

Lees ook de rest van het artikel, onder meer over de afhankelijkheid van de VS en van Big Tech.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , , | Plaats een reactie

African countries object to being added to the EU’s blacklist of AML/CFT sinners

Geplaatst op 16 juni 2025 door Ellen Timmer

The EUObserver reports in Kenya leads African group counting costs of EU money laundering ‘blacklist’ that Kenya, Algeria, Angola, Ivory Coast, and Namibia were added tot the European blacklist of countries with inadequate AML/CFT regulation and enforcement (and Uganda and Senegal were removed from the list). This may have detrimental effects for the economies of these countries.

The African countries according to the article accuse the EU of regulatory imperialism regarding AML/CFT, while “turning a blind eye to its multinationals exploiting tax treaty loopholes to reduce their tax obligations by billions of euros in African states each year“. African countries have supported a UN convention that should replace conventions drafted by the OECD that is dominated by rich western countries.

 

Addition of 18 June 2025
The European Commission’s latest blacklists are announced here. Below the ‘grey’ list, that mainly consists of countries on the African continent (blue) and north Africa and the middle east (yellow):

Geplaatst in Belastingrecht, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , | Plaats een reactie

Oordeel Rechtbank Midden-Nederland in zaak van in Nederland wonende Amerikaanse | FATCA

Geplaatst op 15 juni 2025 door Ellen Timmer

Op 11 juni jl. deed de Rechtbank Midden-Nederland uitspraak in een zaak aanhangig gemaakt door een in Nederland wonende vrouw met Amerikaanse nationaliteit. Haar bezwaren tegen doorgifte van haar gegevens aan de Amerikaanse belastingdienst werden niet gehonoreerd.

Volgens de rechtbank zou het verdrag dat Nederland destijds met de VS sloot hebben voldaan aan de destijds geldende Europese regelgeving [1] en zou er sprake zijn van passende waarborgen [2]. De recente beslissing van de Belgische Gegevensbeschermingsautoriteit [3] gaat volgens de rechtbank over een andere situatie en is in de behandelde zaak niet relevant.

In deze zaak wordt wel geconstateerd dat de VS een internationaal afwijkende belastingsysteem heeft (zie overweging 3.2) maar is dat kennelijk geen onderwerp van discussie, ondanks de schade en overlast die burgers ondervinden [4].

 

 

Noten:

[1] De rechtbank meent dat adequate toetsing aan de Privacyrichtlijn en de Wbp heeft plaats gevonden (het is de vraag of dat wel is gebeurd), maar lijkt in het geheel niet aan Handvest en EVRM te hebben getoetst.
[2] Daar is kritiek op mogelijk.
[3] Zie dit artikel met vindplaats.
[4] Zie mijn inleiding over FATCA.

Geplaatst in Bankrekening krijgen en behouden, Belastingrecht, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , | Plaats een reactie

De witwasbestrijding is zelfs voor grootbanken te moeilijk | de ubo-vragen van de grootbank | AML, CFT, Wwft

Geplaatst op 15 juni 2025 door Ellen Timmer

De Europese witwasbestrijdingsregels, zoals in Nederland geïmplementeerd, gaan van de vreemde veronderstelling uit dat bedrijven iets kunnen waarin de overheid kennelijk faalt: het opsporen van misdaadgeld. Bedrijven (zoals banken) moeten witwassen detecteren en melden aan de overheid; witwassen omvat al het crimineel verdiende geld (dus met alle soorten criminaliteit).

Misdaadgeld en de ubo
De wetgever denkt dat ‘de uiteindelijk belanghebbende’ (ubo) van een rechtspersoon (bijvoorbeeld een bv) en andere entiteiten (bijvoorbeeld vennootschappen onder firma) relevant is voor het opsporen van misdaadgeld. Dit is een veronderstelling die nog nooit is getoetst of bewezen. Witwasbestrijdingsplichtige bedrijven moeten de ubo vaststellen en van hem/haar gegevens vastleggen, wat een kostbare aangelegenheid is. Of al het geld gemoeid met de ubo-bureaucratie wel nuttig wordt besteed is een grote vraag.

Hoog gegrepen
Banken illustreren met regelmaat dat de aan hen toebedeelde overheidstaken voor hen te hoog gegrepen zijn.
Een van mijn lezers stuurde mij een voorbeeld van de correspondentie met een van die grootbanken, waarin dat goed wordt geïllustreerd. Deze lezer kreeg een brief, waarin wordt verwezen naar een eerdere brief die nooit is verstuurd of niet is aangekomen (met ‘***’ wordt geanonimiseerde tekst aangeduid) en waarin staat:

Beste Klant

Dit is een herinnering voor onze brief van twee weken geleden. Daarin vroegen we om aan ons door te geven wie de uiteindelijk belanghebbenden (UBO’s) zijn van *** B.V.  Dat is degene die uiteindelijk eigenaar is van óf zeggenschap heeft over de organisatie. Oftewel de persoon die de touwtjes in handen heeft. Dit moeten we van de wet vastleggen om zo samen zaken zoals witwassen of terrorismefinanciering te voorkomen. Regel dit dus meteen. Zo zorgt u ervoor dat u uw bankzaken kunt blijven gebruiken.

Heeft u de gegevens al aangeleverd? Dan hoeft u niets meer te doen. Het kan zijn dat we nog vragen hebben. Dan hoort u van ons.

Zo levert u de UBO-gegevens aan
De UBO-gegevens geeft u door met formulier en de antwoordenvelop die u eerder heeft gekregen. Heeft u die niet meer bij de hand? Dan kunt u het formulier ‘Verklaring Uiteindelijk Belanghebbenden’ downloaden op rabobank.nl/UBO en mailen naar ubo@rabobank.nl ubo@rabobank.nl. Zet in het onderwerp van de e-mail het KVK-nummer van uw organisatie.

Invullen is zo geregeld met de volgende informatie van de UBO’s bij de hand:
• Volledige voornamen
• Achternamen
• Geboortedatum
• Geslacht
• Woonadres

Goed om te weten: de wet (Wwft) vraagt ons om allerlei gegevens van onze klanten vast te leggen. En dit gaat verder dan de gegevens die we uit het UBO-register kunnen halen. Daarom vragen we om de gegevens zelf bij ons aan te leveren.

Vragen?
Meer informatie en antwoorden op veelgestelde vragen vindt u op rabobank.nl/ubo. Daar vindt u ook onze contactgegevens.

Met vriendelijke groet,
Rabobank

 

Opmerkingen bij de brief
Aan deze brief vallen verschillende zaken op:

1. Ten onrechte wordt geschreven dat de ubo altijd iemand is die ‘de touwtjes in handen‘ heeft omdat hij eigenaar is of zeggenschap heeft; er zijn vele ubo’s die als zodanig zijn aangewezen, voor wie dit niet geldt.

2. De bank roept de klant op tot het gebruik van een onveilige communicatiemethode, te weten verzending van vertrouwelijke (persoons)gegevens per e-mail, dat is schokkend nu banken weten dat e-mail onveilig is, deze bank zou een veilig kanaal moeten aanbieden. De bank handelt hiermee in strijd met haar zorgplicht en in strijd met de AVG.

3. De bank vraagt naar het geslacht van de ubo, terwijl dat niet door de Wwft wordt voorgeschreven – artikel 33 Wwft vraagt slechts naar: “de geslachtsnaam en voornamen” en naar “de gegevens en documenten die zijn vergaard op basis van de redelijke maatregelen die zijn genomen om de identiteit van de uiteindelijk belanghebbende te verifiëren“. Bij geslacht kan in het formulier alleen tussen man en vrouw worden gekozen, er kunnen ubo’s zijn die dat te beperkt vinden. Zie het formulier:

 

 

4. Artikel 33 van de Wwft schrijft niet voor dat de geboortedatum en het adres van de ubo door de bank (en door andere witwasbestrijdingsplichtigen) wordt geregistreerd. Dat is ook van minder belang, nu vooral van belang is of de persoon op juiste gronden als ‘ubo’ is aangemerkt.
Als de bank toch om die gegevens vraagt, gaat de bank verder dan nodig en handelt in strijd met de AVG omdat de gegevensverwerkingsgrondslag ontbreekt.

Overigens worden in de Handelsregisterwet 2007 (Hrw) in het artikel over de registratie van de ubo in het ubo-register, artikel 15a Hrw, meer gegevens over de ubo gevraagd. Die gegevens moeten door de entiteit waar betrokkene ubo van is in het uboregister worden geregistreerd. Ook hier wordt geslacht niet genoemd. Wel het BSN (15a-2-a Hrw); fiscaal identificatienummer van een ander land (15a-2-b Hrw); de naam, de geboortemaand en het geboortejaar, de woonstaat en de nationaliteit (15a-2-c Hrw); de geboortedag, de geboorteplaats, het geboorteland en het woonadres (15a-2-d Hrw).

5. De bank schrijft dat zij op grond van de Wwft om meer gegevens zou moeten vragen dan uit het ubo-register blijkt, terwijl in het formulier om gegevens wordt gevraagd die gewoon in het ubo-register staan. (Daarbij komt dat de bank meer vraagt dan de Wwft voorschrijft, zie onder 4.)
Banken zouden er goed aan doen eerlijk te vertellen dat zij op grond van de wet verplicht zijn om het register te raadplegen en dat zij de inhoud van het ubo-register op juistheid dienen te controleren, alsmede dat zij op dat register niet mogen afgaan. Die wettelijke raadpleegverplichting is er  juist gekomen omdat het register voor witwasbestrijdingsplichtigen weinig toegevoegde waarde heeft.
(Ook de overheid zou kunnen stoppen met het onjuiste relaas dat het register een informatiebron voor witwasbestrijdingsplichtigen zou zijn.)

5. De bank tobt met de definitie van de ubo, zo kan uit de door haar verstrekte informatie worden afgeleid. Er worden nl. twee verschillende toelichtingen verschaft, de ene toelichting zit bij het uboformulier en de andere toelichting is los te vinden onder ‘Veelgestelde vragen‘ bij ‘Hoe bepaal je de UBO van een organisatie?‘. De teksten van beide toelichtingen zijn verschillend en sluiten niet aan bij het artikel van het  uitvoeringsbesluit dat over de definitie gaat.

De lezer schrijft mij naar aanleiding van al dit moois dat het hele gebeuren bakken met geld kost:

De maatschappelijke kosten van dit alles zijn enorm. Wij zijn er zo weer een half uurtje mee bezig, en als je dat vermenigvuldigt met een genormaliseerd ondernemersuurtarief van laten we zeggen € 150 per uur en dan met het aantal entiteiten in NL kost dit UBO-onderhoud het bedrijfsleven: 0,5 x € 150 x 1.000.000= 75.000.000, nog afgezien van de kosten van het WWFT waterhoofd dat de banken onderhouden. En nog afgezien van verzoeken om juridisch advies van de ondernemingen.  

 

Tot slot

Het is hoog tijd dat het hele concept van de privatisering van de misdaadbestrijding ingrijpend wordt herzien en dat de geldverspilling wordt gestopt.

Geplaatst in Bankrekening krijgen en behouden, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, Ubo-register | Tags: , , , , , , , | Plaats een reactie

Privacy First | “Implementatieregels dienen de nadelen van antiwitwasregels te beperken”

Geplaatst op 12 juni 2025 door Ellen Timmer

Onlangs nam Privacy First deel aan een consultatie van de Europese Banken Autoriteit (EBA) over implementatieregels van het antiwitwaspakket dat in de zomer van 2027 in werking treedt, de Engelstalige consultatiereactie is hier (pdf) te vinden.

De stichting publiceerde een Nederlandstalige aankondiging, die hierna volgt:

Implementatieregels dienen de nadelen van antiwitwasregels te beperken

10 juni 2025 Financieel

Deelname door Privacy First aan de openbare consultatie van de European Banking Authority over de implementatieregels voor bedrijven met antiwitwastaken

Stichting Privacy First heeft deelgenomen aan een openbare consultatie van de European Banking Authority (EBA) over implementatieregels (‘RTS’) voor de grote groep van ondernemingen (onder andere banken) die de wettelijke plicht hebben om witwassen en terrorismefinanciering te detecteren en te melden aan de nationale autoriteiten. Privacy First is zeer bezorgd over deze privatisering van overheidstaken naar bedrijven, terwijl adequate waarborgen ontbreken.

Financiële privacy

Privacy First heeft de afgelopen jaren geconstateerd dat de financiële privacy van burgers langzaam maar zeker wordt uitgehold en dat de risico’s van identiteitsfraude, misbruik van financiële persoonsgegevens en discriminatie toenemen als gevolg van de schending van basisprincipes van gegevensbescherming en privacy. Privacy First heeft daarom financiële privacy als één van haar focusgebieden: https://privacyfirst.nl/thema/financieel/.

AML/CFT: goede bedoelingen die leiden tot discriminatie en andere vormen van schade

De Europese wetgever heeft goede bedoelingen met de bestrijding van criminaliteit en criminele geldstromen onder de vlag van het bestrijden van witwassen en terrorismefinanciering door private ondernemingen (het Europese AML/CFT-systeem), maar hanteert methoden die disproportioneel zijn en die onschuldige burgers blootstellen aan onnodige risico’s voor hun gegevens en hun veiligheid.

In Nederland is de afgelopen jaren duidelijk geworden dat het door de EU gecreëerde AML/CFT-systeem leidt tot grote schade voor burgers. In een brief van 14 mei jl. erkent de Nederlandse minister van Financiën dat de strijd tegen witwassen en terrorismefinanciering op grote schaal heeft geleid tot discriminatie en uitsluiting. Ontkenning van deze kwestie was niet langer mogelijk na het verschijnen van een rapport dat KPMG in opdracht van het Ministerie van Financiën opstelde en het vernietigende oordeel van het College voor de Rechten van de Mens. Nederlandse media besteedden eerder uitgebreid aandacht aan discriminerende praktijken van financiële instellingen.

De problemen die het AML/CFT-systeem veroorzaakt treffen niet alleen etnische minderheden en kwetsbare groepen. Ook alle andere mensen en organisaties kunnen te maken krijgen met ongepaste vragen van witwasbestrijdingsplichtige bedrijven. Uit een artikel van de Vereniging Eigen Huis in januari 2025 werd duidelijk dat het voor verenigingen van eigenaars (VvE’s) nauwelijks nog mogelijk is om een bankrekening te openen, blijkbaar omdat zij door banken als een hoog witwasrisico worden beschouwd. Dit is volledig onterecht, aangezien VvE’s geen hoog criminaliteitsrisico vormen. Verschillende andere soorten organisaties, waaronder veel non-profit organisaties, ondervinden grote problemen door de AML/CFT-regels en hebben de Nederlandse overheid al vele malen gevraagd om op te treden en ervoor te zorgen dat bonafide burgers en organisaties niet worden lastiggevallen door witwasbestrijdingsplichtige entiteiten, zie bijvoorbeeld deze brief van non-profit organisaties.

Consultatiereactie Privacy First

De ernstige problemen waarmee mensen en organisaties in Nederland en elders in de EU worden geconfronteerd zijn een gevolg van het Europese AML/CFT-systeem. Privacy First dringt er bij de de EBA, de Europese antiwitwasautoriteit (Anti-Money Laundering Authority, AMLA) en de Europese Commissie op aan om via de implementatieregels op basis van de Anti-Money Laundering Regulation (AMLR) de problematische effecten van het AML/CFT-systeem te beperken en nieuwe discriminerende praktijken tegen te gaan. Lees onze volledige consultatiereactie hier (pdf).

Steun ons

Als u deze activiteiten van Privacy First wilt steunen, word dan donateur of help ons als vrijwilliger om antiwitwasonderwerpen te volgen, ons te assisteren bij de voorbereiding van commentaar of andere activiteiten te ontplooien.

 

Er is ook een Engelstalige versie van de aankondiging: Implementation rules should limit drawbacks of anti-money laundering rules.

Geplaatst in Bankrekening krijgen en behouden, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , , , , , , , , , , , , , , , , | Plaats een reactie