E-mail is onveilig maar niemand doet iets

Geplaatst op 13 april 2019 door Ellen Timmer

Al langer besteed ik op dit blog aandacht aan het feit dat e-mail volledig onveilig is en niet geschikt voor vertrouwelijke communicatie en zelfs niet voor ‘gewone’ persoonsgegevens, zoals naam en adres.

Hoewel die boodschap door diverse partijen wordt gebracht, onder meer door Brenno de Winter, gebeurt er nog steeds niets. Kennelijk moet er eerst van alles dramatisch mis gaan.

Onlangs maakte ik mee dat ik bij een leverancier iets bestelde voor mijn woning, de leverancier vulde op een tablet een formulier in dat ik op de tablet voor akkoord tekende. Vervolgens kreeg ik per e-mail van dit nit-wit-bedrijf alle in het formulier ingevulde persoonsgegevens retour, inclusief mijn handtekening. Op mijn klacht heb ik van dit bedrijf nog steeds geen reactie gekregen.

Iedereen maakt dit soort dingen mee.

Faciliteren van adtechbedrijven | communicatie via datagraaiers
Niet alleen e-mail is onveilig. Ook maken bedrijven en overheden gebruik van allerlei commerciële diensten van datagraaiers zoals Facebook en Twitter en faciliteren zij daarmee de adtech industrie. Erik Bouwer wees er in twee artikelen voor iBestuur op dat de overheid de adtechbedrijven niet hoort te faciliteren.

Een algemene tendens is dat dat bedrijven proberen telefooncontact te beperken en communicatie via adtech bedrijven te laten verlopen, met alle risico’s van dien.

In het artikel “De overheid moet voor eigen kanalen zorgen” bespreekt Bouwer de kritiek van lid van de Tweede Kamer Kees Verhoeven. Bouwer citeert Verhoeven:

Met het aanpakken van big tech zou ook gekeken moeten worden naar de inzet van digitale kanalen als Facebook, Twitter en WhatsApp in de communicatie tussen burger en overheid, zegt Verhoeven tegen iBestuur. “Dat overheden die kanalen toepassen, wekt de indruk dat ze een soort nutsfunctie hebben.” Wanneer je als overheid wilt laten zien dat communicatie met burgers veilig en onafhankelijk moet zijn, dan moet je niet via deze platforms te werk gaan, stelt hij. “In onze onlangs verschenen techvisie hebben we onder meer uitgelegd dat de overheid niet meer via WhatsApp en Facebook met de burger moet communiceren. De overheid moet hiervoor eigen kanalen ontwikkelen.

Ik hoop dat die onafhankelijke veilige communicatiekanalen er eindelijk komen, niet alleen voor communicatie met de overheid. Het wordt tijd dat het verantwoordelijk ministerie, binnenlandse zaken, iets gaat ondernemen.

 

Meer informatie:

Op dit blog, onder meer:

Aanvulling 23 september 2019
Zie voor informatie over veilige digitale communicatie deze pagina.

Geplaatst in ICT, privacy, e-commerce | Tags: , , , , , | Plaats een reactie

Informatieoverload

Geplaatst op 12 april 2019 door Ellen Timmer

Een van de belangrijkste kwalen van deze digitale tijd is de overvloed aan informatie die mensen geacht worden tot zich te nemen.

Daaraan zijn onder meer de makers van digitale apparaten schuldig, bijvoorbeeld doordat alle apps op die apparaten in de gelegenheid worden gesteld om de gebruiker berichten (‘notificaties’) te sturen, ook als dat volstrekte nonsens is.

Zo erger ik me mateloos bij iedere smartphone of tablet die ik moet instellen, over het feit dat notificaties niet standaard uit staan of met één handeling kunnen worden uitgezet. Apple maakt zich in dat verband volledig belachelijk, door te roepen dat zij met ‘schermtijd‘ het apparaatgebruik beperken, terwijl zij niets hebben veranderd aan het notificatiesysteem. Wat mij betreft is het een tijd voor een wettelijk notificatieverbod.

Ook in de werksfeer worden gebruikers lastig gevallen met ondoordachte systemen.

Advocatenspam
Een voorbeeld daarvan is het geniale idee van de Nederlandse Orde van Advocaten (NOvA) om aan alle advocaten ‘tuchtrechtupdates’ toe te sturen per e-mail.

Nu is wel te begrijpen dat de Orde e-mail wil gebruiken, want via de website van de Orde is informatie voor advocaten moeilijk te vinden, de zoekfunctie werkt niet goed en de navigatie is volledig onlogisch. Het is daarom hoog tijd dat de website grondig onder handen wordt genomen en de kwaliteit van de site dramatisch wordt verhoogd. Een NOvA die kwaliteit van de advocaten verwacht dient zelf in alles aan zeer hoge kwaliteitsstandaarden te voldoen. Onderwerp voor een apart artikel.

Terug naar de tuchtrechtupdates:
veel advocaten vroegen zich af waarom zij zonder toestemming werden vergast op die updates. Op 12 maart jl. schreef Engelfriet al dat het spamverbod niet geldt voor de NOvA, al is het de vraag of het verstandig is om advocaten ongevraagd te verrassen met informatie die ook via een andere weg kan worden verspreid. Bijvoorbeeld via de landelijke nieuwsbrieven die de NOvA eveneens regelmatig verstuurt.

Mijn enthousiasme over die updates was niet erg groot, omdat ik de kwaliteit daarvan onvoldoende vond. Ik heb de NOvA aangeschreven en aangedrongen op betere tussenkopjes en een betere visuele weergave. Naar aanleiding van dat commentaar is de nieuwsbrief aangepast.

Verder heb ik heb ik aangedrongen op een mogelijkheid om de frequentie van de nieuwsbrief in te stellen, zodat advocaten in staat worden gesteld om hun informatie management goed in te richten. Op dat verzoek kreeg ik de nietszeggende reactie dat de NOvA op dit moment niet voornemens is de frequentie van de nieuwsbrief aan te passen.

Informatiemanagement
Ik ben van mening dat het de eigen verantwoordelijkheid van de advocaat is om het eigen informatiemanagement te beheren. Onderdeel daarvan is het zorgvuldig managen van e-mail nieuwsbrieven, zoals van de NOvA. Het past de NOvA niet om de advocaat in een bepaald gareel te dwingen, wat kennelijk inhoudt dat alleen gekozen kan worden tussen [a] geen nieuwsbrieven ontvangen; of [b] nieuwsbrieven ontvangen in een door de NOvA bepaalde frequentie. Als partij die kwaliteit bij de advocaten nastreeft, doet de NOvA er goed aan om een en ander technisch zo in te richten dat de advocaat de frequentie kan kiezen, wekelijks, tweewekelijks of maandelijks.

Ik heb de NOvA geattendeerd op het recente bericht van het Centraal Bureau voor de Statistiek waaruit blijkt dat dertig procent van de werknemers een informatie overload ervaart. Ik verwacht dat dit bij advocaten een veel hoger percentage is.

Overigens stuurt de NOvA nog meer e-mail berichten. De Rotterdamse NOvA stuurde in januari jl. 5 e-mails, in februari tel ik er twee en in maart één. Daar komen dat de nieuwsberichten van de landelijke NOvA bij (zo te zien één keer per maand) en de nieuwsberichten van het Advocatenblad (wekelijks).

Natuurlijk zijn dit niet de enige nieuwsbrieven die advocaten ontvangen. Voor verbetering van de nieuwsbrieven functionaliteit is dus alle aanleiding.

Zou het aan dovemansoren zijn?

 

 

Meer informatie:

Geplaatst in Dienstverlening - juridisch financieel [advocaten, accountants, belastingadviseurs e.d.], ICT, privacy, e-commerce, Kantoororganisatie | Tags: , , | Plaats een reactie

De personenvennootschap met onderneming buiten Nederland en de uitkerende stichting | ubo-register wetsvoorstel

Geplaatst op 10 april 2019 door Ellen Timmer

In het onlangs ingediende wetsvoorstel inzake het ubo-register (zie de eerdere post) zitten twee opmerkelijke elementen die in de eerder gehouden consultatie niet aan bod zijn geweest. Het betreft:

  • Een verplichting tot inschrijving van personenvennootschappen en rederijen die naar Nederlands recht zijn opgericht en die geen onderneming in Nederland exploiteren.
  • Een verplichting voor alle Nederlandse stichtingen om degenen aan wie ‘uitkeringen’ worden gedaan te registreren.

Personenvennootschappen met een onderneming buiten Nederland
Voorgesteld wordt om artikel 5 van de Handelsregisterwet 2007 als volgt te wijzigen (zie artikel I sub C voorstel):

Aan artikel 5 wordt, onder vervanging van de punt aan het slot van onderdeel e door een puntkomma, een onderdeel toegevoegd, luidende:

f. een onderneming die niet in Nederland is gevestigd en die toebehoort aan een in Nederland opgerichte maatschap, vennootschap onder firma, commanditaire vennootschap of rederij.

Dit heeft tot gevolg dat deze groep (personenvennootschappen en rederijen) verplicht zijn hun uiteindelijk belanghebbenden bij het Nederlandse handelsregister te registreren.

De memorie van toelichting verschaft geen informatie over dit voorstel. Allereerst is raadselachtig waarom oprichting in Nederland relevant zou zijn. Dat betekent immers niet automatisch dat Nederlands recht van toepassing is. Bovendien kan ik me voorstellen dat personenvennootschappen op enig moment een andere rechtskeuze doen. Dan is oprichting in Nederland al helemaal niet belangrijk meer.

De enige reden die ik kan bedenken voor dit voorstel (maar het staat nergens) is dat dit een ‘gat’ zou zijn in de Europese ubo-verplichtingen. Anders gezegd: als een in Duitsland gevestigde personenvennootschap die naar Nederlands recht is opgericht, zich daar niet in het ubo-register zou hoeven in te schrijven, betekent dat incompleetheid van de Europese ubo-registers.

Mij lijkt dat er alle reden is voor een betere toelichting op dit voorstel dan nu in de memorie van toelichting is opgenomen.

De uitkerende stichting
Al even raadselachtig is het artikel dat aan boek 2 BW het volgende moet worden toegevoegd:

Na artikel 289 van Boek 2 van het Burgerlijk Wetboek wordt een artikel ingevoegd, luidende:

Artikel 290
1. Het bestuur van de stichting houdt een register bij waarin de namen en adressen van alle personen worden opgenomen aan wie een uitkering is gedaan die niet meer bedraagt dan 25 procent van het voor uitkering vatbare bedrag in een bepaald boekjaar, alsmede het bedrag van de uitkering en de datum waarop deze uitkering is gedaan.
2. Het register wordt regelmatig bijgehouden.

Het moet van de OECD
In de memorie van toelichting wordt gezegd dat het ‘moet’ van de OECD, onder verwijzing naar een rapport uit 2011. Dat rapport lijkt door misbruiksituaties te zijn geïnspireerd. Misschien is het nuttig om de OECD eens voor te lichten over de stichting naar Nederlands recht, aangezien de informatie uit het rapport een incompleet beeld geeft. Niet alle Nederlandse stichtingen zijn Panama Paper stichtingen. In Nederland zijn er zeer veel nette not-for-profit stichtingen die zich bezighouden met filantropie, het beheren van scholen en de exploitatie van ziekenhuizen.

In het het OECD rapport uit 2011 wordt gezegd dat de aanbevelingen uit het rapport geen betrekking hebben op de reguliere not-for-profit. De memorie van toelichting zegt daar echter niets over en  beperkt de reikwijdte van de verplichting niet tot Panama Paper stichtingen.

Niet gedefinieerde begrippen
Nog erger is dat in het voorgestelde artikel 290 begrippen worden gebruikt die het stichtingenrecht niet kent:

  • Het begrip ‘uitkering‘ komt in het stichtingenrecht niet voor. Doet een stichting-ziekenhuis uitkeringen aan de patiënten en betekent de nieuwe regel dat de patiënten in een register moeten worden opgenomen? Doet een stichting-universiteit uitkeringen aan studenten en moeten alle studenten in het register worden opgenomen?
  • Ook ‘het voor uitkering vatbare bedrag‘ komt in het stichtingenrecht evenmin voor. Wat betekent het?
  • Wordt met ‘personen‘ aan wie uitkeringen worden gedaan gedoeld op natuurlijke personen. Het staat er niet, zodat in het register ook anderen dan natuurlijke personen moeten worden opgenomen.

Nederlandse stichtingen zijn niet in het leven geroepen om uitkeringen te doen, uitzonderingen daargelaten (zoals pensioenfondsen). (Misschien dat dit bij buitenlandse stichtingen wel het geval is.)

Administratieplicht
Tot slot rijst de vraag hoe het artikel zich verhoudt tot de algemene administratieplicht die iedere stichting heeft op grond van het Burgerlijk Wetboek. Mij lijkt dat voor zover stichtingen uitkeringen doen (lijkt me vnl. iets voor pensioenfondsen) de gegevens al op grond van de algemene administratieplicht dienen te worden vastgelegd. Dat lijkt me afdoende. Misschien kan de Nederlandse overheid hier de OECD helpen het licht te te vinden.

Tot slot
Er is alle reden om de indieners van het wetsvoorstel intensief te bevragen over de achtergrond van dit wetsvoorstel. Wellicht kunnen de relevante OECD rapporten ook als kamerstuk worden ingebracht, zodat belanghebbenden de inhoud van die rapporten van commentaar kunnen voorzien.

Dit artikel is ook op het ondernemingsrechtweblog verschenen.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, Personenvennootschap, Rechtspersonenrecht, Stichting en vereniging, Ubo-register | Tags: , , , , | Plaats een reactie

Slimme auto wordt nog slimmer | eCall 2

Geplaatst op 5 april 2019 door Ellen Timmer

Europa is al langer bezig met verplichte digitalisering van voertuigen. Vanaf 1 april 2018 moeten alle voertuigen met het digitale eCall systeem zijn uitgerust. De inkt van de eCall regels was nog niet droog, of Europa komt al weer met iets nieuws.

Voor het gemak noem ik het voorstel eCall 2. De bestuurder moet volgens de plannen op digitale wijze bij de les worden gehouden. De samenvatting luidt:

1. For cars, vans, trucks and buses: warning of driver drowsiness and distraction (e.g. smartphone use while driving), intelligent speed assistance, reversing safety with camera or sensors, and data recorder in case of an accident (‘black box’).
2. For cars and vans: lane-keeping assistance, advanced emergency braking, and crash-test improved safety belts.
3. For trucks and buses: specific requirements to improve the direct vision of bus and truck drivers and to remove blind spots, and systems at the front and side of the vehicle to detect and warn of vulnerable road users, especially when making turns.

Volgens het persbericht zou de besturingsassistentie (driving assistance) tot minder menselijke fouten leiden. Dat is wat verrassend nu ik uit de artikelen over zelfrijdende auto’s afleid dat daarmee nog veel mis gaat. Is dit digitale naïviteit van Europa geïnspireerd door data hongerige autofabrikanten?

Privacy en cybersecurity
Over privacy en cybersecurity wordt in de persberichten niet gerept. Dat suggereert dat de data “binnen” de auto blijven en niet met fabrikanten of derden worden gedeeld. Uit een eerste blik op de documenten kon ik niet afleiden met wie welke gegevens worden uitgewisseld.

In de concept verordening komt “privacy” maar één keer voor, in een passage waarin staat dat de privacy- en databeschermingsregels moeten worden nageleefd, zonder “handjes en voetjes”. “Data protection” komt op meer pagina’s voor, onder meer op pagina 10, zonder dat wordt vermeld waar de data heen gaan. Opnieuw wordt naleving van de AVG beleden. Verwacht mag worden dat dit soort digitale systemen door de fabrikanten worden onderhouden, zodat er een intensieve data-uitwisseling met de fabrikanten gaat plaats vinden.

Datalekken op wielen
Dat over security zo weinig wordt gesproken is bijzonder, want de huidige ‘intelligente’ auto’s zijn rijdende datalekken, zo blijkt uit diverse artikelen, zoals uit het artikel in het FD van 2 april 2019, “Stortvloed aan data van automobilist naar fabrikant en derde partijen“. Uit het artikel blijkt dat de auto-fabrikanten de privacywet de Algemene Verordening Gegevensbescherming (AVG) niet naleven. Dat is niet nieuw want de ANWB is al langer bezig met het datagraaien van autofabrikanten.

Fabrikant Tesla kwam eind maart in het nieuws omdat de boordcomputer vele data onversleuteld opsloeg. Lees bijvoorbeeld het artikel bij Golem.de, 30 maart 2019 en een bericht op NU.nl van 31 maart jl. (maar het datalek kan al plaats vinden vóór de auto een wrak is).

Tot slot
Een prettige, maar niet genoemde bijkomstigheid is dat via deze systemen ook terroristen kunnen worden opgespoord, als de gegevens met de overheden worden gedeeld.
Geruststellend is verder dat je als mens je hersens en intuïtie niet meer hoeft te gebruiken. De overgang naar het robot-zijn wordt daarmee verlicht.

 

Meer informatie:

Complete lijst van verplichte voorzieningen:

• Advanced emergency braking (cars, vans)
• Alcohol interlock installation facilitation (cars, vans, trucks, buses)
• Drowsiness and attention detection (cars, vans, trucks, buses)
• Distraction recognition / prevention (cars, vans, trucks, buses)
• Event (accident) data recorder (cars, vans, trucks, buses)
• Emergency stop signal (cars, vans, trucks, buses)
• Full-width frontal occupant protection crash test – improved seatbelts (cars and vans)
• Head impact zone enlargement for pedestrians and cyclists -safety glass in case of crash (cars and vans)
• Intelligent speed assistance (cars, vans, trucks, buses)
• Lane keeping assist (cars, vans)
• Pole side impact occupant protection (cars, vans)
• Reversing camera or detection system (cars, vans, trucks, buses)
• Tyre pressure monitoring system (vans, trucks, buses)
• Vulnerable road user detection and warning on front and side of vehicle (trucks and buses)
• Vulnerable road user improved direct vision from driver’s position (trucks and buses)

Het persbericht:

Road safety: Commission welcomes agreement on new EU rules to help save lives
Brussels, 26 March 2019

The EU institutions have reached a provisional political agreement on the revised General Safety Regulation. As of 2022 new safety technologies will become mandatory in European vehicles to protect passengers, pedestrians and cyclists.
New technologies on the market can help reduce the number of fatalities and injuries on our roads, 90% of which are due to human error. In May 2018, the Commission proposed to make certain vehicle safety measures mandatory, including systems that reduce the dangerous blind spots on trucks and buses and technology that warns the driver in case of drowsiness or distraction. Advanced safety features will reduce the number of accidents, pave the way towards increasingly connected and automated mobility, and boost the global innovation and competitiveness edge of the European car industry.

Commissioner Elżbieta Bieńkowska, responsible for Internal Market, Industry, Entrepreneurship and SMEs, said: “Every year, 25,000 people lose their lives on our roads. The vast majority of these accidents are caused by human error. We can and must act to change this. With the new advanced safety features that will become mandatory, we can have the same kind of impact as when the safety belts were first introduced. Many of the new features already exist, in particular in high–end vehicles. Now we raise the safety level across the board, and pave the way for connected and automated mobility of the future.”

The new mandatory safety features include (see full list here):
1. For cars, vans, trucks and buses: warning of driver drowsiness and distraction (e.g. smartphone use while driving), intelligent speed assistance, reversing safety with camera or sensors, and data recorder in case of an accident (‘black box’).
2. For cars and vans: lane-keeping assistance, advanced emergency braking, and crash-test improved safety belts.
3. For trucks and buses: specific requirements to improve the direct vision of bus and truck drivers and to remove blind spots, and systems at the front and side of the vehicle to detect and warn of vulnerable road users, especially when making turns.

The Commission expects that the proposed measures will help save over 25,000 lives and avoid at least 140,000 serious injuries by 2038. This will contribute to the EU’s long-term goal of moving close to zero fatalities and serious injuries by 2050 (“Vision Zero”).
In addition to protecting people on European roads, the new advanced safety features will help drivers get gradually used to the new driving assistance. Increasing degrees of automation offer significant potential to compensate for human errors and offer new mobility solutions for the elderly and physically impaired. All this should enhance public trust and acceptance of automated cars, supporting the transition towards autonomous driving.

Next steps
The political agreement reached by the European Parliament, Council and Commission in so-called trilogue negotiations is now subject to formal approval by the European Parliament and Council.The new safety features will become mandatory from 2022, with the exception of direct vision for trucks and buses and enlarged head impact zone on cars and vans, which will follow later due to the necessary structural design changes.

Background
In recent years, the EU has introduced a range of mandatory measures, which contributed to an estimated reduction of 50,000 fatal traffic casualties per year. These measures include electronic stability control systems on all vehicles, as well as advanced emergency braking systems and lane departure warning systems on trucks and buses.
In 2017, the Commission launched a public consultation to gather stakeholder views on potential improvements to current vehicle safety measures. In May 2018, the Commission then proposed a review of the General Safety Regulation and the Pedestrian Safety Regulation, under the Third “Europe on the Move” set of actions. The revised General Safety Regulation goes hand in hand with an efficient safety management of road infrastructure, where the Commission’s proposal was agreed in February 2019.

The Commission also presented a Communication on Connected and Automated Mobility to make Europe a world leader for autonomous and safe mobility systems. As a first deliverable for connected mobility the Commission had adopted new rules that step up the deployment of Cooperative Intelligent Transport Systems (C-ITS) on Europe’s roads. C-ITS allow vehicles to ‘talk’ to each other, to the road infrastructure, and to other road users – for instance about dangerous situations, road works and the timing of traffic lights, making road transport safer, cleaner and more efficient.

For more information
Press release: Third ‘Europe on the Move’ package
Questions & Answers: Third ‘Europe on the Move’ package
Factsheet: Safe Mobility
Factsheet: Connected & Automated Mobility
Visual: All new safety features in an overview
Website: Safety in the automotive sector

Aanvulling 12 april 2019
Over de ‘slimme’ auto gaat ook dit bericht bij de VPRO. Bij het Europees parlement verscheen op 11 april dit bericht: “General safety of vehicles and protection of vulnerable road users“, er wordt verwezen naar deze briefing (pdf). Ook hier zie ik niets over bij wie alle persoonsgegevens die de intelligente systemen verzamelen terecht komen.

Aanvulling 3 mei 2019
Zie ook “Fahrzeug-Blackbox: Wenn dein Auto gegen dich aussagt“, Netzpolitik 6 april 2019.

Geplaatst in Europa, ICT, privacy, e-commerce | Tags: , , , , , , | Plaats een reactie

Wetsvoorstel ubo-register ingediend | Wwft

Geplaatst op 4 april 2019 door Ellen Timmer

Vandaag is de indiening bekend gemaakt van het wetsvoorstel inzake het ubo-register, het register van uiteindelijk belanghebbenden. Dit is een door Europa verplicht gesteld register.

Hierna het persbericht:

UBO-register vanaf januari 2020 in werking
Nieuwsbericht | 04-04-2019 | 13:08

Vanaf januari 2020 treedt het UBO-register in Nederland in werking. UBO (ultimate beneficial owner) staat voor de uiteindelijk belanghebbende. Ondernemingen en rechtspersonen zijn in 2020 verplicht om hun (in)directe eigenaren te registreren. Een deel van deze persoonsgegevens zoals de naam en het economisch belang van de UBO wordt via het register openbaar. Het wetsvoorstel om het UBO-register te implementeren is vandaag, na advies van de Raad van State, ingediend bij de Tweede Kamer.

Uiteindelijk belanghebbende
Doel van het register is het tegengaan van financieel-economische criminaliteit, zoals witwassen van geld en terrorismefinanciering door transparantie over wie de uiteindelijk belanghebbende van een onderneming is. Het betreft de natuurlijke persoon die, al dan niet achter de schermen, bij een onderneming of rechtspersoon aan de touwtjes trekt.
Minister Hoekstra: “Het is van groot belang dat wordt voorkomen dat het financiële stelsel wordt misbruikt voor bijvoorbeeld witwassen. Ik zal me daarom blijvend inzetten op integriteit binnen de sector.”

Kamer van Koophandel
Het register waarin de UBO-informatie wordt opgenomen, zal onderdeel worden van het handelsregister en daarmee onder beheer vallen van de Kamer van Koophandel. Een deel van de UBO-informatie zal openbaar toegankelijk zijn. Voor bescherming van de privacy en persoonlijke levenssfeer van de UBO’s zijn waarborgen opgesteld.

Vierde Europese anti-witwasrichtlijn
Invoering van een UBO-register is een uitvoering van de vierde Europese anti-witwasrichtlijn. Doel van deze richtlijn is het voorkomen van het gebruik van het financiële stelsel voor het witwassen van geld of terrorismefinanciering.

Meer informatie vindt u hier.

Er wordt verwezen naar een pagina die onvolledige informatie over het ubo-register geeft. Er ontbreekt dat een groot aantal statutair bestuurders als ‘ubo’ wordt aangemerkt.

Meer informatie:

Aanvulling 12 april 2019
Zie over het voorstel ook het KNB bericht van 5 april jl.:

UBO-register januari 2020 in werking
05-04-2019

Het UBO-register treedt vanaf januari 2020 in Nederland in werking. Ondernemingen en rechtspersonen zijn dan verplicht om hun UBO’s te registreren. Minister Wopke Hoekstra van Financiën heeft het wetsvoorstel om het UBO-register te implementeren donderdag ingediend bij de Tweede Kamer.
Op grond van de vierde en vijfde anti-witwasrichtlijn moeten de lidstaten van de Europese Unie een UBO-register instellen. In dat register worden van juridische entiteiten zoals vennootschappen, stichtingen en trusts de ‘uiteindelijk belanghebbenden’ (ultimate beneficial owners, UBO’s) vastgelegd. Doel van het register is het tegengaan van financieel-economische criminaliteit, zoals witwassen van geld en terrorismefinanciering door duidelijkheid over wie de uiteindelijk belanghebbende van een onderneming is.

Fouten constateren
Het register waarin de UBO-informatie wordt opgenomen, wordt onderdeel van het handelsregister en valt onder beheer van de Kamer van Koophandel (KvK). Een deel van de UBO-informatie wordt openbaar. Instellingen die op grond van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) verplicht zijn cliëntenonderzoek te verrichten worden verplicht fouten die zij in het register constateren aan de KvK te melden.

Zelf vullen
De KNB is niet enthousiast over de komst van dit register omdat de bruikbaarheid van het register beperkt zal zijn. Het register zal door de hierin op te nemen entiteiten zelf gevuld gaan worden. Hierdoor is de kans groot dat de inhoud van het register niet betrouwbaar is. De inhoud kan slechts als hulpmiddel worden gebruikt om tot de vaststelling van de identiteit van UBO’s te komen. De KNB pleit voor het instellen van een centraal aandeelhoudersregister waarin betrouwbare authentieke gegevens van aandeelhouders worden opgenomen.

Effectieve samenwerking
Met het UBO-register wordt niet alleen binnen Nederland, maar ook binnen de hele Europese Unie transparantie beoogd. De UBO-registers zullen immers door samenwerking tussen lidstaten onderling toegankelijk zijn. De Raad van State wijst erop dat voor effectieve samenwerking wel vereist is dat de lidstaten de wijze waarop zij gegevens in de registers actueel, accuraat en volledig houden, voldoende op elkaar afstemmen. Volgens minister Hoekstra is elke lidstaat verplicht ervoor te zorgen dat binnen haar grondgebied opgerichte vennootschappen en andere juridische entiteiten toereikende, accurate en actuele informatie over wie hun UBO’s zijn inwinnen, bijhouden en registreren.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, Ubo-register | Tags: , , , | Plaats een reactie

Opt-out PSD2 | reactie van een Nederlandse bank

Geplaatst op 28 maart 2019 door Ellen Timmer

PSD2 maakt mogelijk dat betaalgegevens van een rekeninghouder zonder diens toestemming terecht komen bij fintech bedrijven. Dat doet zich voor als een wederpartij bij een betalingstransactie gebruik maakt van “rekeninginformatiediensten”.

Voorbeeld:

Rekeninghouder X heeft geld geleend aan rekeninghouder Y. Rekeninghouder Y maakt gebruik van rekeninginformatiediensten, waardoor een dochteronderneming van Google alle bankrekeninggegevens van Y krijgt. In die bankrekeninggegevens zit ook informatie van X. De rekeninginformatiedienstverlener is verplicht om toestemming aan Y te vragen om toegang te krijgen tot diens bankrekening. Aan X wordt niets gevraagd. Dat betekent dat de gegevens van X zoals blijken uit de bankrekening van Y, zonder toestemming van X bij de genoemde Google-dochter terecht komen.

Degene wiens gegevens zonder toestemming gedeeld worden, in het voorbeeld ‘X’, worden ook wel ‘stille derde’ of de ‘silent third party’ genoemd. Veel Nederlanders zijn er niet van gecharmeerd dat hun gegevens door rekeninghouders die van rekeninginformatiediensten gebruik maken, worden verschaft aan fintech bedrijven. Officieel mogen deze de gegevens van de stille derde niet voor iets anders gebruiken dan de dienst voor de toestemming gevende rekeninghouder. De zorg is groot dat het daar niet bij blijft. Om die reden pleit Privacy First voor een PSD2-me-niet-register. Lees ook dit bericht.

Brief aan de bank
Al langer heeft het PSD2 datalek mijn aandacht. Bij een bericht van 10 november 2017 heb ik een conceptbrief opgenomen, die door één van de lezers van dit blog is gebruikt. Hierna volgt de reactie van de bewuste bank:

Dank u voor uw uitgebreide brief waarin u uw zorg uit over de gevolgen van de Payment Services Directive 2 (PSD2). U spreekt in deze brief een verbod uit waaraan ik niet kan voldoen. Dat licht ik graag toe.

Een van de meest besproken aspecten van de PSD2 is de mogelijkheid om transactieinformatie te delen met derden. Zoals u weet heeft [bank] een dubbele drempel opgeworpen om de transacties op uw rekeningen te delen met een andere betaaldienstverlener. Hiervoor moet u eerst de mogelijkheid om te gaan delen aanzetten (`hoofdschakelaar’). Vervolgens moet u een specifieke betaaldienstverlener expliciete toestemming geven met uw [pas].

Ik neem echter aan dat u niet van plan bent uw transacties met een andere betaaldienstverlener (of rekeninginformatiedienstverlener zoals u het noemt) te gaan delen. U spreekt in uw brief uw expliciete zorg uit over `derdeninformatie’. Deze transactiegegevens bevatten immers gegevens van betalers en ontvangers die hiervoor geen toestemming gegeven hebben. U schrijft in uw brief dat derdeninformatie niet mag worden afgegeven zonder toestemming van deze derden.

Hoewel ik geen jurist ben betwijfel ik of u daar gelijk in heeft. De Autoriteit Persoonsgegevens (AP) stelt expliciet dat een betaaldienstverlener een grondslag volgens de Algemene Verordening Gegevensbescherming (AVG) moet hebben om persoonsgegevens te mogen verwerken. Dat betekent volgens mij in praktijk dat een betaaldienstverwerker een dossier mag aanleggen met transactiegegevens van een persoon die toestemming gaf, maar daaruit geen dossiers van derden mag destilleren. Ze mogen de persoonsgegevens van derden uit de transactiegegvens niet verwerken zonder grondslag voor deze derden.

Dit is complexe materie, en ik kan u hier geen sluitende uitleg over geven. Feit is dat de AP bij de implementatie van de richtlijn verschillende adviesrondes gedaan heeft. Ik verwijs u dan ook graag naar autoriteitpersoonsgegevens.nl om hier meer informatie over te krijgen.

In de richtlijn zoals die nu van kracht is, is de expliciete toestemming van een rekeninghouder voldoende om transactieinformatie te delen met een andere betaaldienstverlener, inclusief de derdeninformatie. [bank] heeft dan ook geen technische of andere maatregelen genomen om te voorkomen dat derdeninformatie via de toestemming van de rekeninghouder (Waar u een financiële transactie mee heeft gedaan) bij een andere betaaldienstverlener terecht komt.
U verbiedt mij (derden)informatie af te geven aan een door een andere gebruiker ingeschakelde rekeninginformatiedienstverlener. Graag leg ik u uit waarom ik niet aan dat verbod kan voldoen.

Strikt genomen betekent uw verbod dat ik bij elke transactie op uw rekening eerst zou moeten toetsen of de ontvanger (of storter) gebruik maakt van een andere betaaldienstverlener. Er bestaat echter geen openbaar register met PSD2 toestemmingen, waardoor ik bij elke transactie de andere partij moet benaderen. Afgezien van de kosten en procedures die hierbij zou komen kijken zou dit praktisch bijzonder lastig zijn bij bijvoorbeeld een iDealbetaling of een pinbetaling. U zou dan moeten wachten tot de betreffende rekeninghouder reageert op onze navraag. Daarbij zijn PSD2 toestemmingen ook persoonsgegevens. Ik kan dus niet eisen dat een rekeninghouder of zijn bank hier inzage in geven.

Om aan uw verbod te voldoen zie ik op dit moment maar één mogelijkheid, en dat is uw rekeningen blokkeren voor alle transacties. Dat is neem ik aan niet uw bedoeling, want daarmee wordt het gebruik van uw rekening onmogelijk. Wanneer u ook na overleg met de AP van mening blijft dat uw transactiegegevens in de vorm van derdeninformatie een onoverkomelijk bezwaar zijn zult u iedereen die u betaalt of van wie u geld ontvangt vooraf moeten vragen of zij andere betaaldienstverleners gebruiken. [bank] kan dat niet voor u doen.

Het antwoord is onbevredigend.

Als het technisch mogelijk is voor de bank om rekeninginformatie te leveren aan betaaldienstverleners (die rekeninginformatiediensten leveren) dan moet het ook mogelijk zijn om de gegevens van rekeninghouders die voor PSD2 opt-out hebben gekozen te anonimiseren.

Toestemming rekeninghouder
Al weer een hele tijd geleden heb ik PSD2 doorgelezen en viel mij op dat aan de stille derde geen aandacht werd besteed. Verder staat in PSD2 heel nadrukkelijk dat de rekeninghouder toestemming moet geven voor het delen van informatie. Mij lijkt dat dit zowel voor degene geldt die van rekeninginformatiediensten gebruik wil maken, als voor de stille derde. Het is iets om dieper in te duiken.

 

Meer informatie:

  • Lees over de stille derde de brief van EDPB (aankondiging, html) aan Europarlementariër Sophie in’t Veld, intro EDPB, op 5 juli 2018 op de site gepubliceerd:

The EDPB adopted a letter on behalf of the EDPB Chair addressed to Sophie in’t Veld MEP regarding the revised Payments Services Directive (PSD2 Directive). In its reply to Sophie in’t Veld the EDPB sheds further light on ‘silent party data’ by Third Party Providers, the procedures with regard to giving and withdrawing consent, the Regulatory Technical Standards, the cooperation between banks and the European Commission, EDPS and WP29 and what remains to be done to close any remaining data protection gaps.

Geplaatst in Financieel recht, onder meer Wft, Wtt, ICT, privacy, e-commerce | Tags: , , , , | 2 reacties

AMLD4 comparison

Geplaatst op 27 maart 2019 door Ellen Timmer

Those who are interested in the bureaucracy that Europe is creating and that is the basis for surveillance by governments and ‘obliged entities‘ like banks, of every citizen, can read the automatic comparison I made of the consolidated version of the 4th anti money laundering directive and the original directive.

Please note that preamble and notes are not included.

Comparison (pdf)

I have added the comparison to my page with AML-information (in Dutch).

Original directive:
Directive (EU) 2015/849 of the European Parliament and of the Council of 20 May 2015 on the prevention of the use of the financial system for the purposes of money laundering or terrorist financing, amending Regulation (EU) No 648/2012 of the European Parliament and of the Council, and repealing Directive 2005/60/EC of the European Parliament and of the Council and Commission Directive 2006/70/EC.EN

Consolidated version:
Version of 9 July 2018. Please note EU’s disclaimer:

This text is meant purely as a documentation tool and has no legal effect. The Union’s institutions do not assume any liability for its contents. The authentic versions of the relevant acts, including their preambles, are those published in the Official Journal of the European Union and available in EUR-Lex. Those official texts are directly accessible through the links embedded in this document

> EN

Geplaatst in English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: | 1 reactie

De privacy van de ubo, verschijning van het tweede artikel

Geplaatst op 26 maart 2019 door Ellen Timmer

Eerder kondigde ik mijn eerste artikel in WPNR over de privacy van de uiteindelijk belanghebbende aan. Inmiddels is ook het tweede artikel verschenen en heb ik het eerdere bericht aangevuld.

De beide artikelen zijn ook bij de Stichting tot Bevordering der Notariële Wetenschap te vinden als html-pagina’s:

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , | Plaats een reactie

Betalingsdienstverleners verschaffen betaalgegevens aan Europese database | CESOP

Geplaatst op 25 maart 2019 door Ellen Timmer

Europa wordt steeds belangrijker als data partij en verzamelt steeds vaker zelf gegevens over burgers. Dat blijkt uit allerlei voorstellen, zoals de voorstellen voor een verordening en een richtlijn betreffende betaalgegevens die betalingsdienstaanbieders aan de belastingdienst moeten gaan verstrekken.

Betaalgegevens
Uit de korte toelichting (‘fiche’) ten behoeve van de Tweede Kamer, opgesteld door het ministerie van Financiën, blijkt dat de strekking van deze voorstellen is dat betalingsdienstaanbieders ( ‘PSPs’), zoals banken en betaaldienstverleners, verplicht zullen zijn om inzake grensoverschrijdende betalingen bepaalde gegevens via nationale regeisters aan een Europese database, CESOP, te leveren. Doel van de verplichting is om daarmee btw-fraude te bestrijden.

In de fiche staat het volgende over de motieven van de Europese Commissie:

De Commissie stelt nu voor op geharmoniseerde wijze de bij betalingsdienstaanbieders beschikbare informatie door middel van nieuwe registers langs elektronische weg te delen met belastingdiensten. Het moet dan gaan om een grensoverschrijdende overdracht van middelen aan de begunstigden door een betaler die zich in een lidstaat bevindt. Bovendien moet het aantal betalingen dat een bepaalde begunstigde heeft ontvangen meer zijn dan 25 per kalenderkwartaal. Volgens het voorstel worden alleen gegevens verwerkt die betrekking hebben op de ontvangers van betalingen en op de betalingsverrichting zelf. Ten aanzien van de betaler wordt slechts informatie gedeeld over de lidstaat waar de betaler een rekening heeft, omdat die lidstaat geacht wordt de locatie van de betaler en daarmee de plaats van verbruik te zijn. De betalingsdienstaanbieders bewaren de in de registers bijgehouden gegevens tot twee jaar na het jaar van de transactie.

Op grond van het voorstel voor een aanpassing van de verordening administratieve samenwerking moeten lidstaten de door de op hun grondgebied gevestigde betalingsdienstaanbieders bewaarde informatie op kwartaalbasis verzamelen via een elektronisch standaardformulier en uitwisselen. Hiervoor wordt met het voorstel op Europees niveau een nieuw centraal elektronisch systeem ontwikkeld voor de opslag van de door de afzonderlijke lidstaten verkregen betaalinformatie en de verdere verwerking van deze informatie door fraudebestrijdingsambtenaren in de lidstaten binnen het kader van Eurofisc. Eurofisc is het netwerk voor de uitwisseling van vroegtijdige waarschuwingssignalen om btw-fraude te bestrijden. De Commissie zal het centrale systeem genaamd CESOP [2] ontwikkelen en alle lidstaten ontwikkelen zelf hun nationale elektronisch systeem voor de opslag van de betaalinformatie uit de registers van hun binnenlandse betalingsdienstaanbieders. De Commissie zorgt ook voor de koppeling tussen deze systemen. De Commissie heeft zelf geen (inhoudelijke) toegang tot de informatie. Lidstaten kunnen de betaalinformatie alleen gebruiken voor onderzoeken naar vermoedelijke btw-fraude of om btw-fraude op te sporen. Lidstaten krijgen de verplichting om in het Eurofisc-jaarverslag het aantal controles, naheffingsaanslagen en inningen te vermelden die zijn uitgevoerd als gevolg van de via het systeem verkregen informatie.

Met dit centrale systeem kunnen lidstaten betaalinformatie die zij op nationaal niveau opslaan doorgeven, wat kan helpen om btw-fraude in e-commerce daadwerkelijk te bestrijden. In dit systeem kan per begunstigde alle voor de btw relevante betaalinformatie die de lidstaten doorgeven worden gebundeld, waardoor een volledig overzicht kan worden gecreëerd van betalingen die de begunstigden hebben ontvangen van betalers in de EU. Met de informatie over inkomende betalingen kunnen lidstaten binnenlandse leveranciers opsporen die goederen en diensten in het buitenland verkopen zonder hun btw-verplichtingen aldaar te voldoen. Aan de hand van uitgaande betalingen zullen in het buitenland gevestigde leveranciers (in een andere lidstaat of buiten de Unie) kunnen worden opgespoord, die in een bepaalde lidstaat btw moeten voldoen. (…)

De voorkeursoptie van de Commissie is de regelgevingsoplossing voor een centraal EU-register omdat op deze manier de btw-fraude het best kan worden aangepakt en omdat dit centrale register de uniformiteit van gegevens en gegevensanalyses beter kan garanderen.

[2] Centraal Elektronisch Systeem voor Betaalinformatie.

 

Het commentaar van het ministerie van Financiën is dat Nederland er in beginsel positief tegenover staat. Wel worden vraagtekens geplaatst bij de administratieve lasten die het gevolg zijn voor zowel bedrijfsleven als overheid (belastingdienst), zijn er nog een aantal uitvoeringsvragen en is de relatie met PSD2 niet duidelijk.

De Europese privacy toezichthouder EDPS heeft op 14 maart jl. advies over de voorstellen uitgebracht.

De voorstellen maken duidelijk dat Europa over steeds meer gegevens inzake burgers zal gaan beschikken.

 

Meer informatie:

  • Voorstel voor een richtlijn van de Raad tot wijziging van Richtlijn 2006/112/EG wat betreft de invoering van bepaalde voorschriften voor betalingsdienstaanbieders, COM(2018)812.
  • Voorstel voor een Verordening van de Raad tot wijziging van Verordening (EU) nr. 904/2010 wat betreft maatregelen ter versterking van de administratieve samenwerking om btw-fraude te bestrijden, COM(2018)813.
  • Opinie van EDPS over de voorstellen, 14 maart 2019.
  • Artikel Daniel Hoffmann op de site van het Duitse Bankenverband, 1 maart 2019. Deze auteur is niet gelukkig met alle taken die financiële instellingen door de overheid toebedeeld krijgen.
  • Fiche inzake de voorstellen voor een verordening en richtlijn betreffende BTW relevante betaalgegevens, 22112, nr. 2764: html, pdf.
Geplaatst in Belastingrecht, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce | Tags: , , , , , , | Plaats een reactie

Het privaatrecht bestaat niet voor het ministerie van Financiën | antwoord kamervragen identiteitsfraude

Geplaatst op 22 maart 2019 door Ellen Timmer

Het ministerie van Financiën liet recent blijken niet van privaatrechtelijke principes op de hoogte te zijn. Zo werden onlangs kamervragen beantwoord, waarin het ministerie het deed voorkomen dat banken alleen identificeren en de identiteit verifiëren, aan de hand van bijvoorbeeld een paspoort, omdat dit moet op grond van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft).

Ook het burgerlijke recht verplicht er in het algemeen toe dat een partij die een overeenkomst aangaat, zich van de identiteit van de wederpartij overtuigt.

Verificatie in het contractenrecht
In het handelsverkeer worden vele contracten aangegaan. Overal waar sprake is van contracten waarbij niet “direct wordt overgestoken” (zoals bij het kopen van fysieke producten die direct worden afgerekend), is het nodig dat partijen vaststellen dat zij zijn wie zij zeggen te zijn. Die verplichting vloeit voort uit de basisprincipes van het burgerlijke recht. Je kunt iemand niet aan een overeenkomst houden als je nooit een overeenkomst bent aangegaan. Onjuistheden inzake de identiteit van een partij bij een overeenkomst, kunnen met beroep op dwaling of bedrog leiden tot vernietiging van de overeenkomst. Mogelijk is er ook beroep op onrechtmatige daad mogelijk.

Een aantal consumentenrechtelijke bepalingen in het Burgerlijk Wetboek zijn daar wat specifieker over, zoals artikel 61 lid 2 boek 7 Burgerlijk Wetboek, dat handelt over kredietovereenkomsten met consumenten. Ook de civielrechtelijke bepalingen inzake het elektronisch sluiten van overeenkomsten besteden aandacht aan de identiteit van partijen.

Als een bank een overeenkomst sluit, zal die bank zich primair op grond van het Burgerlijk Wetboek er van moeten overtuigen dat de bank met de juiste partij van doen heeft. Bij rechtspersonen zal moeten worden geverifieerd of de vertegenwoordiger bevoegd is.

Slordige identificatie mag niet
Een onderneming, zoals een energiebedrijf, een bank en een telecombedrijf (telco) hoort na te gaan wie de wederpartij is en of deze geldig vertegenwoordigd wordt, tenzij dat voor de transactie niet relevant is (zoals bij het hiervoor genoemde ‘direct oversteken’. Dit is iets wat niet alleen voor banken op grond van de Wwft geldt. Het bewijs van de identiteit is vrij als er geen specifieke regels gelden (zoals bijvoorbeeld in de Wwft zijn opgenomen).

Bij die identificatie moet wel worden gelet op de regels van de privacywet, de Algemene Verordening Gegevensbescherming (AVG). De AVG verbiedt in het algemeen het maken van kopieën van identiteitsbewijzen, daar zijn beperkte uitzonderingen op.

Die Wwft is een nadere, bestuursrechtelijke, invulling van de zorgplicht inzake identificatie zoals al geldt op grond van het burgerlijke recht.

Tip voor het ministerie van Financiën: doe aan privaatrechtelijke bijscholing. Een wereld zal voor u open gaan.

PS 1 Overigens is ergerniswekkend dat grote bedrijven en instellingen nog steeds de praktijk van anoniem bellen er op na houden, waarmee zij fraudeurs faciliteren die eveneens anoniem bellen en zich als ‘de bank’ of ‘Microsoft’ voordoen. Het wordt tijd dat bedrijven en organisaties niet meer anoniem mogen bellen. Een systeem waarbij telefoonnummers van bedrijven en organisaties geverifieerd kunnen worden is hoog nodig.

PS 2 Mij lijkt identificatie en verificatie in het huidige privaatrecht een aardig onderwerp voor een artikel. Daarin kan dan ook aandacht worden besteed aan de tuchtuitspraak die ik een tijd geleden tegenkwam, waarin een advocaat verzuimde een hem onbekende wederpartij te verifiëren, die bij hem een overeenkomst kwam tekenen.

 

Meer informatie:

Geplaatst in Contractenrecht, privaatrecht algemeen, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft | Tags: , , , , , | Plaats een reactie