When you are looking for general information on the European data protection legislation (GDPR), read the blog on the European Parliamentary Research Service (EPRS) pages: Privacy and personal data protection 2014-2019.
Still I keep wondering how GDPR relates to other European legislation, like anti-money laundering and PNR (Passenger Name Record). These rules typically form a disproportionate intrusion on dataprotection rights of citizens and entities active in the EU.
Al eerder constateerde ik dat de concepten achter de witwasbestrijding falen. Dat blijkt nu ook weer uit recente berichten over de plannen van de Nederlandse grote banken om een gezamenlijk transactiemonitoringssysteem op te zetten, dat Transactie Monitoring Nederland (TMNL) gaat heten.
Banken zijn grote organisaties met grote IT-systemen, die in theorie in staat zouden moeten zijn tot het opbouwen van digitale systemen waarmee cliëntenacceptatie en -monitoring plaats kan vinden. Dat hen dat niet is gelukt, geeft aan dat de Verenigde Staten (FATF), de Europese en en Nederlandse wetgever te optimistische verwachtingen van banken hadden en hebben.
Overigens zal zo’n samenwerkingsverband een flinke uitdaging zijn, zowel technisch als juridisch (cybersecurity, privacy, mededingingsrecht).
Witwasbestrijdingssysteem moet op de schop
Het is hoog tijd dat het volledige witwasbestrijdingssysteem op de schop gaat. Het zou goed zijn dat de nieuwe vormen van discriminatie, die ontstaan door de witwasbestrijding, bij de planontwikkeling worden mee genomen.
Kernprincipes zijn wat mij betreft:
Meer informatie:
Aanvulling 19 september 2019
Hoeveel zin heeft de antiwitwasbureacratie? In het artikel Transparenzregister belastet Banken ohne großen Nutzen bij Springer, 19 september 2019, betwijfelen twee experts dit.
Op de site van het Rathenau Instituut verscheen het bericht “Wie zit er aan de knoppen? – Hoe ‘coders’ jouw leven bepalen“.
In het bericht wordt een Engelstalige bijeenkomst door het Rathenau Instituut aangekondigd die op 7 november 2019, van 15:00 – 17:00 uur zal plaats vinden. Aanleiding is het boek van Clive Thompson over de mensen ‘aan de knoppen’, aldus Rathenau:
Op 7 november is tech-journalist Clive Thompson te gast bij het Rathenau Instituut. In dit programma gaan we met hem in gesprek over de vormgevers van het internet: de programmeurs die ongemerkt onze dagelijkse bezigheden bepalen.
In zijn nieuwste boek Coders – The Making of a New Tribe and the Remaking of the World laat Clive Thompson zien hoe programmeurs bepalen welk nieuws jij te zien krijgt, welke aanbevelingen Bol.com jou geeft of hoe je van A naar B komt. Moeten we wel zoveel verantwoordelijkheid leggen bij één groep mensen? En wie zijn die mensen eigenlijk, die ons dagelijks leven vormgeven?
In debat over een verantwoorde digitale samenleving
Hierover gaan we op 7 november in gesprek. Aan de hand van de beschouwingen van Thompson over de ‘coders’ praten we over de rol en maatschappelijk waarde van digitale technologie in ons leven. Op zoek naar de beste manier om vorm te geven aan een toekomstige samenleving waarin technologie een oplossing biedt voor de uitdagingen van deze tijd.
Voor dit blog schreef ik het artikel Ontmaskering van Tops en Tromp door Bart de Koning. Het rapport van de eerstgenoemde twee heren over drugsgerelateerde criminaliteit in Amsterdam had ik met verwondering gelezen, ook zag ik de beschuldigingen aan het adres van het notariaat gebaseerd op een niet met naam genoemde politiebron.
Het KNB reageerde bezorgd in een bericht dat ik hierna plaats. Die organisatie kan natuurlijk niet zeggen dat het rapport van T&T een slecht rapport is.
Nader onderzoek ondermijning Amsterdam nodig
29-08-2019De Koninklijke Notariële Beroepsorganisatie (KNB) pleit voor nader onderzoek naar ondermijning in Amsterdam en betrokkenheid van notarissen hierbij. De beroepsorganisatie reageert hiermee op de verkenning ‘De achterkant van Amsterdam’, die woensdag is gepubliceerd. In dit rapport schetsen hoogleraar Pieter Tops en onderzoeksjournalist Jan Tromp een ontluisterend beeld van omvangrijke drugs gerelateerde ondermijning en verwevenheid van onder- en bovenwereld in de hoofdstad.
Volgens de onderzoekers heeft drugs gerelateerde criminaliteit in Amsterdam in vergaande mate vrij spel. Ook concluderen zij dat hun gesprekspartners vanuit de eigen professie wel de signalen onderkennen, maar geen beeld hebben van het totaal. “Er is de anekdote, niet de tabel.” De KNB deelt deze laatste conclusie van de onderzoekers, vooral omdat de gesprekspartners ook notarissen beschuldigen van betrokkenheid, zonder die beschuldigingen nader te onderbouwen met concrete bewijzen. De KNB wil daarom graag weten wat er precies speelt en hoeveel en welke notarissen hierbij zijn betrokken. Notarissen moeten voldoen aan strenge wet- en regelgeving die misbruik van het recht moet voorkomen. Voor notarissen die bewust meewerken aan fraude en witwassen is in de notariële beroepsgroep geen plaats.
Notarissen
De notaris heeft een belangrijke maatschappelijke rol bij fraudepreventie. De KNB draagt waar mogelijk bij aan de voorkoming van fraude en witwassen en het terugdringen van bewuste dan wel onbewuste medewerking van notarissen aan frauduleuze en witwastransacties, met name rond vastgoedtransacties, oprichtingen van rechtspersonen en aandelenoverdrachten. Bijvoorbeeld met cursussen en voorlichting om het fraudebewustzijn van het notariaat te bevorderen en om notarissen te voorzien van handvatten om fraude en witwassen te kunnen signaleren. Zij doet dat samen met opsporingsinstanties zoals de Belastingdienst en de FIOD. Ook werkt de KNB samen met provincies aan voorlichting en kennisdeling over ondermijning. Recent in Utrecht en Noord-Holland, binnenkort in Noord-Brabant en Zeeland. De Ring Amsterdam van de KNB heeft contact over deze problematiek met de gemeente Amsterdam en City Deal Zicht op ondermijning. Op 17 september wordt met deze partijen een bijeenkomst van het Amsterdamse notariaat en de Makelaarsvereniging Amsterdam over deze thematiek gehouden.
Wat mij betreft is het uithuilen en opnieuw beginnen, waarmee ik de burgemeester van Amsterdam veel sterkte wens.
PS Ik blijf er bij dat criminaliteitsopsporingstaken (‘poortwachter’ taken) moeten worden neergelegd bij ondernemingen die daarvoor geëquipeerd zijn. Dus vraag niet iets aan notarissen waartoe zij niet in staat zijn. Dat is iets waar de overheid wel eens beter over mag gaan nadenken.
Dit artikel verscheen eerder in een iets aangepaste vorm op het ondernemingsrechtweblog.
Degenen die wel eens met bedrijven te maken hebben die actief zijn in China attendeer ik op de Europese handelskamer voor China.
Op de site van die kamer verscheen een interessant bericht over het social scoring systeem dat ook voor buitenlandse bedrijven die actief zijn in China zal gaan gelden.
The Digital Hand: How China’s Corporate Social Credit System
Conditions Market ActorsChina’s Corporate Social Credit System (SCS), the innovative and comprehensive vision of using modern technologies to monitor, condition and steer market participants, is moving decisively forward with its planned rollout in 2020. Until now, the discussion has focused primarily on the potential impact of the SCS on individuals in China, while the ramifications of the Corporate SCS have remained largely under the radar. To address this, the European Chamber in cooperation with Sinolytics released a major report that details the acute disruptions that European companies will face, and what they must do to ensure compliance.
It comprises a diverse range of rating requirements, which form the basis for calculating regulatory ratings awarded to all market actors. Companies’ behaviour will be continually monitored, with scores being adjusted accordingly. If businesses fail to clearly grasp all aspects of the System and what they need to do to comply, they risk serious repercussions like sanctions or even blacklisting
Read English press release and Chinese press release.
Nadere informatie is te vinden in het persbericht en in een rapport The Digital Hand (pdf). Lees ook dit artikel in de Welt (Duitstalig).
Het lijkt me goed denkbaar dat de westerse wereld dit voorbeeld gaat volgen. De kiem zit al in de Wwft, Wet Bibob en gelijksoortige regelgeving.
Aanvulling 16 september 2019
Uit een bericht (Duitstalig) van DIHK blijkt dat de Duits-Chinese handelskamer (Association of German Chambers of Industry & Commerce in Greater China) een verklaring (pdf) heeft uitgebracht. Daarin worden een aantal opmerkingen gemaakt over onvolkomenheden in het social scoring systeem:
1. Informationstransparenz zur Scoring-Berechnung schaffen
2. Klärung Meta-Score
3. Klärung der Redlists und Blacklists
4. Sektorübergreifende Sanktionierungsmaßnahmen vermeiden
5. Trennung von Privat- und Unternehmensscoring
6. Unabhängigkeit von Geschäftspartnern im Scoring
7. Transparenz für den Umgang mit Negativbewertungen
Zie voor volledige informatie de tekst van de verklaring.
Het DigiNotar schandaal is in de geheugens van juristen gegrift. Lang geleden ben ik bij een presentatie geweest waarin mensen van de onderneming achter DigiNotar spraken over de wonderen die zij met de DigiNotar certificaten konden verrichten.
Later werd DigiNotar een cybersecurity schandaal en ging de onderneming failliet.
DigiNotar: hoe staat het er mee?
In 2016 schreef ik het blogje “DigiNotar: hoe staat het er mee?” en constateerde dat het faillissement toen nog liep. Inmiddels zag ik op de site van het kantoor van de curator dat het faillissement is beëindigd (en de rechtspersoon juridisch overleden):
Aan het laatste verslag (nr. 17) te zien is de auditor niet aangesproken. Wel hebben voormalige bestuurders EUR 350.000 in de pot van de curator gestort zonder schuld te erkennen. In het verslag staat dat de concurrente crediteuren (totaal EUR 11.121.708,98) niets zullen krijgen. Belangstellenden kunnen het laatste financiële verslag hier inzien.
De erfenis van het DigiNotar Drama
Over de technische achtergrond van DigiNotar kwam ik een artikel van André Koot tegen, uit 2012, dus lang geleden, maar toch aardig om door te lezen. In De erfenis van het Diginotar Drama beschrijft hij hoe het zo ver kon komen.
De rol van het auditkantoor, PwC, heeft me altijd geïnteresseerd. Daarover schrijft Koot dat deze heeft voldaan aan zijn opdracht, te weten het auditen van de naleving van een bepaalde norm, de zgn. ‘ETSI’ norm. De scope van die norm is beperkt tot een management system toetsing; een toetsing van de security controls ontbrak. Ik vind het vreemd dat de auditor er niet in zijn verklaring op wijst dat de ETSI-norm onvoldoende is en dat de security niet is onderzocht.
Aanvulling 16 september 2019
Nadat ik dit artikel had geschreven, zag ik dat de geschiedenis van DigiNotar wordt besproken in het net uitgekomen boek van journalist Huib Modderkolk over de cyberoorlog, Het is oorlog maar niemand die het ziet.
Lees over het boek ook Peter Olsthoorn (Netkwesties), ‘Het is oorlog maar niemand ziet het’. Hij schrijft dat de oprichter van DigiNotar nog een schadevergoedingsappeltje te schillen heeft met de koper van het bedrijf Vasco.
On 27 November the Council of Bars & Law Societies of Europe (CCBE) organises a Conference on Modernisation of European Company Law.
The introduction:
The Council of Bars and Law Societies of Europe, with the scientific support of its Company Law Committee, invites you to a conference on the recent legislative achievements and on the future of European Company Law.
- Focus will be given on the following topics:
- Cross border Mergers, Divisions & Conversions
- Digitalisation of Company Law
- Corporate Governance and Sustainability
- Future EU policies
What has been achieved in legislating Company law in Europe?
What has been implemented already?
What is working in practice and what is not effective?
What still has to be done?
This article was previously posted on the company law blog.
E-mail is geen veilige communicatievorm. Informatiebeveiligingsdeskundige Chris van den Hooven schreef daar onlangs een mooi artikel over en gaf mij toestemming het op deze site te publiceren. Het artikel verscheen eerder hier.
22 juni 2019
Chris van den Hooven
Helping organisations managing
their information related risks
Afgelopen weekend las ik een pleidooi van een arts om te stoppen met “al dat moeilijke gedoe van cybersecurity”. Het was veel te moeilijk geworden om patiëntgegevens met een collega uit te wisselen. Toestemming, encryptie, … Vroeger, met brieven, deden we ook niet zo moeilijk, terwijl een postbode de brief heus wel had kunnen openen. Dat gebeurde nooit, dus waarom zou dat met email ineens een probleem zijn!?
Een brief is fysiek. Het is een ding dat je kunt vasthouden en doorgeven. Zodra je hem doorgeeft ben je hem kwijt. Als je hem vernietigt is hij weg. Je kunt hem niet met honderden mensen tegelijk lezen. Een email is niet fysiek. Je kunt het niet vasthouden en doorgeven werkt anders dan in de fysieke wereld. In de cyberwereld wordt er een kopie gemaakt. Een kopie die niet te onderscheiden is van het origineel. Denk maar eens aan de map “verzonden berichten”. Je bericht is verzonden, maar niet weg. Het is gekopieerd. Maar waar naartoe eigenlijk?
Stel dat ik een arts ben met een kleine praktijk en ik stuur een email naar een arts in een groot ziekenhuis. Het is dan niet onwaarschijnlijk dat ik als kleine zelfstandige een internet met email abonnement afneem bij Ziggo of KPN. Het ziekenhuis heeft wellicht zijn email bij Google of Microsoft. Als verzender heb ik geen idee hoe mijn ontvanger het heeft geregeld.
Ik typ een email op mijn PC met Outlook en druk op send. De mail wordt nu verzonden naar mijn mailprovider. In de meeste gevallen gebeurt dat versleuteld, maar deze versleuteling is alleen voor de overdracht. Bij de provider aangekomen is het bericht niet meer versleuteld. De provider leest waar het bericht naartoe moet en stuurt het door. Ook hier weer niet zoals met een brief, maar er wordt weer een kopie gemaakt. Omdat de provider niet in het nieuws wil komen met een bericht dat hij “alles kwijt is”, maakt de provider een backup, een kopie. Voor de zekerheid wordt op een tweede plaats ook een backup bewaard. Er zijn nu al vier kopieën en het bericht heeft de geadresseerde nog lang niet bereikt.
Mijn email wordt door de provider doorgestuurd naar de mailserver van de ontvanger. Het zou kunnen, maar het is niet waarschijnlijk, dat de server van mijn provider een rechtstreekse netwerkverbinding heeft met de server van de ontvanger. Het is waarschijnlijker dat er meerdere “hops” zijn. Hier wordt mijn bericht ontvangen, gekopieerd en doorgestuurd naar de volgende “hop”. De route is onvoorspelbaar. Mijn bericht wordt gekopieerd op plaatsen waarvan ik het bestaan niet eens ken. Zo is er twee weken terug een twee uur durende periode geweest waarbij een hoop internetverkeer via China werd gerouteerd. Een bericht van een Nederlandse afzender, naar een Nederlandse ontvanger ging via China.
Mijn email komt uiteindelijk aan bij de server van de ontvanger, bij een grote provider. Deze bedrijven staan erom bekend zelf “mee te lezen”. Ze doen dat om advertenties te kunnen verkopen. Voor de betalende klanten, zoals het ziekenhuis, beloven ze dat niet te doen. In het verleden hebben ze dat echter wel gedaan en in de toekomst zouden ze het weer kunnen gaan doen. Gebruiksvoorwaarden en gedragscodes veranderen continu.
De mail zal niet van hun servers verdwijnen, zelfs niet als de arts in het ziekenhuis op delete klikt. Het is best mogelijk dat de mail in de toekomst alsnog wordt omgezet in een dossier over mij, een dossier over u als patiënt en een dossier over de collega van het ziekenhuis. Natuurlijk verkoopt de provider dan zijn dossiers.
E-mailen is massaal kopiëren. Dat kon de postbode onmogelijk hebben gedaan.
Andere artikelen op dit blog over de onveiligheid van e-mail zijn via deze tag te vinden.
Aanvulling 23 september 2019
Zie voor informatie over veilige digitale communicatie deze pagina.
Council of Bars & Law Societies of Europe (CCBE) on 27 June 2019 organised an event on AML and DAC6 and the consequences for lawyers. Present were representants of CCBE (Rupert Manhart, Jacques Taquet), the Commission Financial Crime Unit (Raluca Pruna) and several law firms.
There was a Dutch speaker present, Ms. Nathalie Fanoy, who spoke on “Implementation of DAC 6 in The Netherlands”.
More information:
Hoewel gezaghebbende instanties er regelmatig op wijzen dat Nederland digitaal kwetsbaar is, lijkt het noch op de overheid, noch op de private sector veel indruk te maken. Vandaag heeft de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) het rapport over digitale ontwrichting gepubliceerd:
Het zal me benieuwen of er maatregelen worden genomen. De WRR vat de aanbevelingen als volgt samen:
Voorbereiden op ontwrichting
De belangrijkste aanbeveling van dit rapport is dat de voorbereiding op digitale ontwrichting nadrukkelijk onderdeel dient te zijn van het veiligheidsbeleid en beleid gericht op de continuïteit van de samenleving. Deze centrale aanbeveling wordt verder uitgewerkt met de volgende aanbevelingen:
- Creëer een helder afgebakende wettelijke bevoegdheid voor digitale hulptroepen.
- Stel in aanvulling op het huidige Cybersecuritybeeld een Cyberafhankelijkheidsbeeld op, dat inzichtelijk maakt van welke partijen, digitale processen en diensten het functioneren van vitale processen in de Nederlandse samenleving afhankelijk is.
- Besteed bij het beleid voor vitale infrastructuur meer aandacht aan de ketens en netwerken die vitale processen ondersteunen. Onderzoek bovendien of digitalisering het nodig maakt de prioritering van die processen aan te passen.
- Stimuleer onderzoek naar de haalbaarheid van een Nederlandse of Europese cyberpool om schade als gevolg van digitale ontwrichting te verzekeren.
- Benut nationale en internationale incidentdata beter om lessen te trekken met het oog op toekomstige verstoringen.
Eerdere waarschuwingen kwamen van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), die in juni jl. schreef dat ontwrichting van de maatschappij op de loer ligt en van het Rathenau Instituut (2017) en de Cyber Security Raad (2016).
Aanvulling 11 september 2019
De overheid blijft een vrolijke toon aanslaan, zoals in het vandag bekend gemaakte bericht Conferentie Nederland Digitaal 2020 in Groningen. Meer over de conferentie op deze pagina. Het CBS is ook optimistisch, CBS: Nederlandse bedrijven hebben cyberveiligheid beter op orde.
Thijs Pepping en Menno van Doorn waarschuwen in hun artikel Laat de grip op uw identiteit niet aan techbedrijf over voor de nieuwe IT-mogelijkheden om identiteitsfraude te plegen. Ook het Openbaar Ministerie maakt zich daar zorgen over, zo schreef de NOS in Zorgen OM over deepfakes: ‘Risico op oplichting en afpersing’.
BNR schreef op 2 september Interne netwerk van tientallen Nederlandse bedrijven en organisaties staat wagenwijd open.
Een beschaafde overheid zorgt er voor dat rechtshulp ook bereikbaar is voor mensen met minder geld, zeker omdat de belangrijkste tegenstander diezelfde overheid is!
De advocaten die in deze gespecialiseerde rechtsgebieden actief zijn hebben recht op een fatsoenlijke beloning.
>>> Lees meer over gefinancierde rechtshulp. >>>
Ellen Timmer - juridische artikelen en berichten 