EP think tank publishes briefing on prudential requirements and supervision of investment firms

Geplaatst op 1 december 2018 door Ellen Timmer

The think tank of the European Parliament has published a briefing on prudential requirements and supervision of investment firms. In the announcement the think tank explains the status as follows:

Prudential requirements and supervision of investment firms
23-11-2018

Investment firms play an important role in capital markets, facilitating savings and investment flows across the EU. However, the current EU rules are seen as fragmented, overly complex, inconsistently applied and often a poor fit for the actual risks taken by the various types of investment firms. The Commission has proposed a new regulation on the prudential requirements of investment firms and a new directive on the prudential supervision of investment firms. These proposals update the framework for investment firms, making it more effective and more closely calibrated to the size and nature of the various investment firms and their risks. Parliament’s Committee on Economic and Monetary Affairs (ECON) agreed its report and negotiating mandate on 24 September 2018. Work in Council is ongoing.

More information:

Geplaatst in English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt | Tags: , , | Plaats een reactie

Ubo werkgroep van het Europese handelsregisterforum (ECRF)

Geplaatst op 30 november 2018 door Ellen Timmer

Op het ondernemingsrecht weblog plaatste ik een bericht over de ubo-register werkgroep van het Europese handelsregisterforum (ECRF).

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Handelsregister, Kamer van Koophandel, Ubo-register | Plaats een reactie

Europese aandacht voor culturele zaken | AMLD5, verordening invoer cultuurgoederen

Geplaatst op 29 november 2018 door Ellen Timmer

Kunstvoorwerpen en andere culturele objecten krijgen momenteel veel Europese aandacht. Dat gebeurt in de witwasbestrijding maar ook via nieuwe invoerregels.

AMLD5 en de kunsthandel
De 5e Europese antiwitwasrichtlijn (AMLD5) geeft op diverse plaatsen aandacht aan de kunsthandel. Zo wordt de groep ondernemingen die zich aan de antiwitwaswetgeving (4e Europese antiwitwasrichtlijn, AMLD4) moet houden uitgebreid met:

i) personen die handelen in of als tussenpersoon optreden bij de handel in kunstwerken, ook wanneer deze handel wordt uitgevoerd door kunstgalerijen en veilinghuizen, indien de waarde van de transactie of een reeks van onderling samenhangende transacties 10 000 EUR of meer bedraagt;
j) personen die kunstwerken opslaan of verhandelen of als tussenpersoon optreden bij de handel in kunstwerken wanneer deze wordt uitgevoerd door freeports, indien de waarde van de transactie of een reeks van onderling samenhangende transacties 10 000 EUR of meer bedraagt.”.

aldus 1) sub c) van artikel 1 AMLD5.

AMLD5 wijzigt bijlage III (indicatoren van hoog risico) van AMLD4 en daar komt de kunsthandel eveneens in beeld, want in artikel 1 onder 44) worden

transacties in verband met (…) culturele kunstvoorwerpen en andere artikelen van archeologisch, historisch, cultureel en religieus belang (…)

aangemerkt als hoog risico transacties, die extra onderzoek vergen.

Voorkomen van illegale invoer van cultuurgoederen in de EU
Uit een persbericht van 7 november jl. blijkt dat er nog meer maatregelen aan zitten te komen. Er is een verordening in voorbereiding (concept 25 oktober 2018), die betrekking zal hebben op cultuurgoederen die:

• buiten de EU zijn gecreëerd of ontdekt;
• in het vrije verkeer zullen worden gebracht of onder een andere bijzondere regeling dan douanevervoer zullen worden geplaatst;
• ouder dan 250 jaar zijn;
• minstens € 10 000 waard zijn.

Voor sommige cultuurgoederen is een importvergunning nodig. Bij andere zaken is een verklaring van de importeur vereist. De Europese Commissie gaat de gegevens inzake de vergunningen en verklaringen in een Europese databank vastleggen.

Aanvulling 11 december 2018
Vandaag is de internetconsultatie over verdere wijzigingen van de Wwft gestart, lees dit bericht. De nieuwe Wwft-plichtigen in de kunsthandel zijn volgens pagina 2 van het voorstel:

natuurlijke personen, rechtspersonen of vennootschappen die beroeps- of bedrijfsmatig kunstvoorwerpen opslaan of handelen als koper of verkoper van kunstvoorwerpen, voor zover betaling van deze kunstvoorwerpen plaatsvindt voor een bedrag van €10.000 of meer, ongeacht of de transactie plaatsvindt in
een handeling of door middel van meer handelingen waartussen een verband bestaat

Voorts zijn degenen die  “beroeps- of bedrijfsmatig bemiddelen inzake koop en verkoop van kunstvoorwerpen” Wwft-plichtig.

Aanvulling 21 december 2018
Zie over het bovenstaande ook:

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Internationale handel | Tags: , , | Plaats een reactie

PEP en ubo in de not-for-profit | hoe mede-bestuurders PEP worden | Wwft

Geplaatst op 29 november 2018 door Ellen Timmer

Voor het ondernemingsrechtweblog schreef ik een bericht, waaruit blijkt dat in de not-for-profit, waar meestal de statutair bestuurders van de rechtspersoon ‘uiteindelijk belanghebbende‘ (ubo) zijn, de mede-bestuurders van een bestuurslid dat ‘politiek prominente persoon’ (PEP), zelf ook PEP worden.
Verder citeer ik de beantwoording door de Minister van Financiën van vragen van een lid van de Tweede Kamer over het fenomeen ‘PEP’.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, Not-for-profit, Ubo-register | Tags: , , , , , | Plaats een reactie

Antiwitwashumor | wasmachine onderzocht tijdens spookburgeractie

Geplaatst op 28 november 2018 door Ellen Timmer

Toen ik de kop las, dacht ik “1-april grap’. Maar nee, het staat er toch echt op de site van de Nederlandse politie: “350.000 euro aangetroffen in wasmachine“. Nog mooier wordt het dat de wasmachine is onderzocht tijdens een spookburgeractie.

Het is maar goed dat de politie zijn werk doet. Wel jammer dat de overheidsmarketing zulke rare vormen aanneemt.

Geplaatst in Fraude, witwasbestrijding, Wwft | Tags: , | Plaats een reactie

Risicoprofilering door banken in het kader van hun opsporingstaak | Wwft en AVG

Geplaatst op 27 november 2018 door Ellen Timmer

Al eerder schreef ik over de te grote verwachtingen van de overheid ten aanzien van de mogelijkheden van private partijen, met name banken, om criminaliteit op te sporen. Officieel wordt dit ‘witwasbestrijding’ genoemd, in Nederland gebaseerd op de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft).

Tony de Bree: Wwft-naleving kan alleen met goede IT
Inmiddels zag ik een bericht van Tony de Bree, een compliance expert die onder meer bij ABN Amro heeft gewerkt. Hij geeft aan dat de uitvoering van deze private opsporingstaak alleen mogelijk is met hoogwaardige IT waarmee alle transacties van alle rekeninghouders (dus zowel u en ik als bedrijven, organisaties, enzovoorts) intensief gemonitord kunnen worden.

In privacy taal heet dat ‘surveillance’. Surveillance is een algemene trend, bij private partijen wordt het alleen bestreden als het om marketing en commercieel uitbaten van persoonsgegevens gaat. De overheid is op allerlei terreinen bezig om surveillance-mogelijkheden te benutten en te vergroten, onder meer via de Wwft.

Monitoring door banken
Ook een artikel in het FD van 27 november jl. gaat over surveillance door de banken, oftewel het opsporen van criminaliteit.

In dat artikel wordt ten onrechte gezegd dat de privacy regels een belemmering zouden zijn; Wwft-plichtigen hebben op grond van de Wwft een zeer ruime grondslag om persoonsgegevens te verzamelen en te analyseren. Als er op privacy gebied iets zou belemmeren, maakt het ministerie van financiën morgen een wet dat het probleem oplost.

Uit het artikel blijkt dat de opsporing van criminaliteit is als het zoeken naar een speld in een hooiberg. Volgens het FD-artikel is slechts 1 à 2 procent van hetgeen intern wordt gesignaleerd iets wat tot de melding van een ‘ongebruikelijke transactie’ aan FIU-Nederland moet leiden. Het geeft aan hoeveel werk de opsporingsactiviteiten van banken met zich mee brengen.

Risicoprofilering mag wel! | AVG
Vreemd is dat in het artikel staat dat risicoprofilering van klanten door DNB wordt gestimuleerd terwijl dat volgens de privacy toezichthouder (Autoriteit Persoonsgegevens) niet zo mogen. Voor zover ik weet biedt de Wwft wel degelijk een wettelijke grondslag voor risicoprofilering.

Echter, daar zit wel aan vast dat de klanten door de bank worden geïnformeerd over de profileringsactiviteiten (artikelen 13 en 14 AVG) en dat de klant in het kader van het inzagerecht (artikel 15 AVG) moet worden geïnformeerd over profilering. Voorts hoort daarbij dat de klanten worden geïnformeerd over de onderliggende logica van de profilering en het belang en de verwachte gevolgen van die verwerking voor die klant. Als de klant geen natuurlijke persoon is maar een rechtspersoon, zoals een bv, zullen de natuurlijke personen betrokken bij de bv door de bank moeten worden geïnformeerd over de profilering.

Verder schrijft de AVG voor dat de bank zijn beslissingen niet uitsluitend op IT mag baseren, tenzij dat is toegestaan op grond van Europees en Nederlands recht en is voorzien in een passende rechtsbescherming voor betrokken natuurlijke personen (artikel 22 AVG).

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce | Tags: , , , , , , , , , , , | Plaats een reactie

Cybersecurity bij de belastingdienst en de UWV

Geplaatst op 27 november 2018 door Ellen Timmer

Niet alleen in de private sector is de cybersecurity niet op orde. Ook de overheid kan er wat van, zo bleek in oktober uit het rapport van de Algemene Rekenkamer. De Belastingdienst is een voorbeeld, deze dienst kwam in het nieuws vanwege diverse datalekken en het niet op orde zijn van de naleving van de AVG.

Intussen kreeg de UWV een last onder dwangsom van de Autoriteit Persoonsgegevens.

Antwoord op vragen inzake de belastingdienst
Onderstaand het antwoord op vragen uit de Tweede Kamer, op 19 november jl. gegeven namens Financiën en BZK, naar aanleiding van een artikel in Trouw over ondermaatse beveiliging bij deze dienst. Het is overigens ook voor niet-overheidsorganisaties interessant.

1 Bent u bekend met het bericht ‘Beveiliging data fiscus ondermaats’? [1]

Antwoord 1
Ja.

2 Welke technische onmogelijkheden om persoonsgegevens goed te beveiligen bedoelt de Belastingdienst precies? Kunt u specifieker zijn over wat er wel en niet mogelijk is?

Antwoord 2
Op 28 september heb ik een afschrift van een brief aan de AP aan uw Kamer gestuurd, waarin wordt ingegaan op de gerealiseerde verbetermaatregelen bij de afdeling Datafundamenten en Analytics (DF&A) van de Belastingdienst. In die brief is aangegeven dat “vanuit de dataomgeving bij afdeling DF&A, waar wel een exportfunctie aanwezig is, technische logging niet mogelijk [is] noch het aanpassen van autorisaties”. Op basis van deze zin wordt in het artikel de indruk gewekt dat de gegevensbeveiliging bij de Belastingdienst in den brede niet op orde is. Dat is niet het geval.
De situatie is dat het niet mogelijk is om ieder gebruik van gegevens te loggen als de te analyseren gegevens eenmaal uit de centrale dataomgeving zijn gehaald en in de digitale werkomgeving (PC of laptop) van de medewerker van DF&A zijn geplaatst. Dat komt omdat in de digitale werkomgeving van de medewerker ook standaardapplicaties worden gebruikt die geen logmogelijkheid kennen. Daarom zijn technische- en organisatorische maatregelen getroffen in het werkproces, waarmee het risico van een datalek wordt geminimaliseerd (zie het antwoord op vraag 7). Handelingen met gegevens in de centrale dataomgeving van DF&A worden wel gelogd en gemonitord.

3 Wordt met ‘technisch onmogelijk’ bedoelt de huidige IT-security-middelen die nu ter beschikking zijn, of meer in algemene zin?

Antwoord 3
Met technisch onmogelijk is inderdaad bedoeld dat dit niet mogelijk is in de huidige digitale werkomgeving van de medewerkers. Dit zal worden opgelost met invoering van de zogenoemde Analytical Data Perimeter (ADP). Dit is een technisch volledig afgesloten digitale werkomgeving waar enkel vooraf gedefinieerde, gecontroleerde en geaccordeerde dataroutes mogelijk zijn, die steeds gelogd en gemonitord worden. De ADP wordt op dit moment gebouwd en zal in de loop van 2019 beschikbaar zijn.

4 Zou het met meer kennis en kunde en/of een betere algemene ICT-architectuur bij de overheid (denk aan de door Binnenlandse Zaken en Koninkrijksrelaties geleverde DigiD-architectuur) wel mogelijk zijn om persoonsgegevens bij de Belastingdienst te beveiligen? Zo nee, waarom niet?

Antwoord 4
Er is geen sprake van dat persoonsgegevens bij de Belastingdienst niet beveiligd zijn. Zoals in de beantwoording onder vraag 2 is aangegeven, betreft het in het geval van de Belastingdienst de beveiligingsmaatregel logging op één onderdeel van het werkproces bij DF&A. Maatregelen om een adequate beveiliging van dat specifieke onderdeel te borgen, zijn getroffen (zie het antwoord op vraag 7). Verder is de informatiebeveiliging (inclusief het toegangsbeheer) bij de Belastingdienst gebaseerd op rijksbrede kaders zoals de Baseline informatiebeveiliging Rijk (BIR).
De overheid blijft uiteraard investeren in kennis en kunde en in het leveren van een goede architectuur. Toepassing van DigiD of de DigiD-architectuur biedt in dezen geen oplossing, aangezien DigiD specifiek is ontwikkeld voor authenticatie (het verifiëren van de identiteit) van natuurlijke personen die inloggen bij digitale loketten zoals MijnBelastingdienst of MijnOverheid. Het werkproces van de afdeling DF&A betreft analyse van gegevens in de interne systemen van de Belastingdienst.

5 Klopt de berichtgeving dat de Belastingdienst geen inzicht heeft in waar welke data zich bevindt in de systemen? Deelt u de mening dat dit een zorgelijke constatering is, aangezien die namelijk niet alleen gevolgen heeft voor de privacy, maar ook voor de business in het algemeen alsook de cybersecurity in het algemeen? Hoe kan de Belastingdienst de data voor 100% beveiligen als niet alles kenbaar of zichtbaar is?

Antwoord 5
Het is mij niet duidelijk op welke berichtgeving in deze vraag wordt gedoeld. Het is niet zo dat de Belastingdienst geen inzicht heeft in de plaatsen waar (persoons)gegevens zich bevinden in de ICT-systemen, en welke gegevens dat zijn.

6 Deelt u de mening dat het opslaan van geselecteerde persoonsgegevens in één heldere en unieke bron het probleem van het gebrek aan overzicht bij de Belastingdienst waar persoonsgegevens zich bevinden zou oplossen? Zo ja, wat wordt er bij de Belastingdienst gedaan om dit voor elkaar te krijgen? Zo nee, waarom niet? Krijgen medewerkers van de Belastingdienst en andere overheidsinstellingen die werken met persoonsdata hier speciale trainingen voor? Zo ja, hoe zien deze trainingen eruit? Zo nee, waarom niet?

Antwoord 6
Zoals aangegeven in het antwoord op vraag 5 is geen sprake van het ontbreken van inzicht waar persoonsgegevens zich bevinden.
De ICT-systemen bij Belastingdienst zijn ingericht per belastingmiddel en er zijn afzonderlijke systemen voor toeslagen en douane. Dat is voor een goede uitvoering van de verschillende taken ook noodzakelijk. Wel wordt er naar gestreefd gegevens voor analysedoeleinden (zoals de afdeling DF&A die verricht) op te slaan in één bron. Daarbij worden specifieke maatregelen genomen (zie ook vraag 7) om de informatieveiligheid te verzekeren; hierop wordt een audit uitgevoerd.
Alle medewerkers van de Belastingdienst zijn verplicht de training iBewustzijn Overheid te volgen, die onder meer modules bevat over verantwoord omgaan met persoonsgegevens en met digitale middelen die het werk ondersteunen, en over het veilig houden van de fysieke werkomgeving. Vanaf het voorjaar van 2018 is hier een specifieke AVG-module aan toegevoegd. De certificaten die worden behaald bij het doorlopen van de training worden toegevoegd aan het personeelsdossier.

7 Wat heeft de Belastingdienst veranderd aan de beveiliging van persoonsgegevens sinds de uitzending van Zembla begin 2017? Heeft deze verandering alleen plaatsgevonden bij de afdeling Data & Analytics of ook bij andere afdelingen? Zo ja, welke afdelingen en wat is er precies veranderd? Zo nee, waarom niet?

Antwoord 7
Sinds de uitzending van Zembla zijn bij het dienstonderdeel DF&A de volgende maatregelen getroffen:
* De gegevens zijn gecompartimenteerd, zodat medewerkers alleen de gegevens te zien krijgen die zij nodig hebben voor hun werk.
* Toegang tot de datacompartimenten is strikt geregeld via autorisaties.
* De autorisaties worden maandelijks volledig beoordeeld op actualiteit en geldigheid.
* Iedere gegevensverwerking in de dataomgeving werd al gelogd en wordt nu actief gemonitord; er wordt gecontroleerd of voldaan is aan vooraf gedefinieerde beveiligingsregels (bijvoorbeeld: er mag niet gezocht worden op een specifieke persoon). Zo niet dan volgt een signaal naar de medewerker en zijn leidinggevende. Als blijkt dat van een onrechtmatigheid sprake is, wordt het reguliere proces voor integriteitsschendingen gevolgd.
* In de beveiligde werkomgeving van de medewerker met datatoegang is extern mailverkeer niet meer mogelijk. Het via een mobile device (die zijn voorzien van een wachtwoord en afgedwongen beveiligingsmaatregelen) opslaan en versturen van bijlagen is alleen mogelijk door middel van doelbewuste handelingen. In de trainingen en bewustwordingssessies van alle medewerkers wordt het verrichten van deze handelingen bestempeld als een bewuste en kwaadwillende actie, die kan leiden tot sancties.
* Gebruik van internet is alleen mogelijk naar goedgekeurde websites; export van gegevens naar het internet is afgesloten.
* De medewerkers die geautoriseerd zijn voor het werken met data beschikken niet over USB-ontheffingen en kunnen deze ook niet verkrijgen. Alleen beheerders kunnen een USB-ontheffing aanvragen van enkele uren (dit is het afgelopen jaar niet gebeurd).
* Alle bevoegdheden voor gebruik van file transfer (FTP) naar buiten zijn ingetrokken.
Verder zijn bij de Belastingdienst met behulp van risico- en issueanalyses op verwerkingen van persoonsgegevens verbetermaatregelen geformuleerd. Op het gebied van informatiebeveiliging betreffen deze verbetermaatregelen met name de actualisering en het beheer van autorisaties van medewerkers voor het gebruik van gegevens.

8 Zijn er naast de Belastingdienst en het Uitvoeringsinstituut Werknemersverzekeringen nog meer overheidsinstellingen die problemen ervaren met de beveiliging van persoonsdata? Hoe bent u voornemens persoonsgegevens in de toekomst overheidsbreed wel optimaal te beveiligen? Wat wordt er in samenwerking met andere departementen door u gedaan om dit te implementeren?

Antwoord 8
Voorop staat dat overheidsorganisaties zelf verantwoordelijk zijn en blijven voor de beveiliging van hun persoonsgegevens. Nog niet alle organisaties hebben dit volledig op orde, maar er wordt hard aan gewerkt en dit onderwerp heeft overheidsbreed hoge prioriteit. De openbare onderzoekrapportages van de Autoriteit Persoonsgegevens [2] geven een goede indicatie van het type problemen dat overheidsinstellingen op dit terrein ervaren. In samenwerking met andere ministeries worden de nodige initiatieven ontplooid om duurzame naleving van de AVG op dit vlak binnen het Rijk te bevorderen. Het Ministerie van BZK faciliteert dit onder meer door de introductie van een nieuwe rol, de Privacy Adviseur Rijksbrede Kaders & Voorzieningen (PAR) en een bijbehorende procedure voor rijksbrede projecten. Met deze aanpak wordt centraal, in afstemming met alle ministeries, één privacy-advies opgesteld voor Rijksbrede kaders en voorzieningen.
In de update van de Strategische I-agenda voor de Rijksdienst, die uw Kamer na het Kerstreces ontvangt, zal de minister van BZK nader ingaan op de verdere uitwerking van deze en andere privacy-versterkende maatregelen voor de sector Rijk.

9 Wanneer verwacht u dat de Belastingdienst kan voldoen aan de striktere regels omtrent de Algemene Verordening Gegevensbescherming?

Antwoord 9
Ik verwacht dat de Belastingdienst per mei 2019 de implementatie van de verbetermaatregelen afgerond zal hebben en in lijn zal zijn met de AVG. Bij de afdeling DF&A is dit, zoals ook aangegeven in de brief aan de AP, eind mei 2018 al gerealiseerd. Naleving van de AVG is echter een continu proces dat structureel aandacht en maatregelen vraagt en nooit ‘af’ is.

10 Wanneer verwacht u dat technische onmogelijkheden bij het beveiligen van persoonsgegevens zijn opgelost? Welke stappen moeten naast bovengenoemde nog gezet worden?

Antwoord 10
Zoals aangegeven in het antwoord op vraag 3 zal het in gebruik nemen van de ADP de technische onmogelijkheid van met logging in de werkomgeving van de medewerkers van DF&A oplossen.
Voor de andere onderdelen van de Belastingdienst geldt dat het nemen van informatiebeveiligingsmaatregelen, afgestemd op aard en omvang van de gegevensverwerkingen, een reguliere activiteit is. Specifieke stappen hoeven daarvoor niet te worden gezet.

11 Kunt u de Kamer zo snel mogelijk informeren over mogelijke vervolgstappen van de Autoriteit Persoonsgegevens? Zo nee, waarom niet?

Antwoord 11
Ik zal uw Kamer informeren over vervolgstappen van de Autoriteit Persoonsgegevens zodra ik daarover door de Autoriteit word geïnformeerd.

12 Wilt u alle vragen één voor één beantwoorden?

Antwoord 12
Ja.

[Noten]

1) Trouw, 12 oktober 2018,  https://www.trouw.nl/home/belastingdienst-het-is-technisch-onmogelijk-persoonsgegevens-goed-te-beveiligen~a8648a26/
[2] Beschikbaar op de website www.autoriteitpersoonsgegevens.nl.

 

Sanctie voor UWV
Dat de overheid een flinke kluif heeft aan de cybersecurity en de Algemene Verordening Gegevensbescherming blijkt uit het  bericht van de Autoriteit Persoonsgegevens van 30 oktober jl., “AP dwingt UWV met sanctie gegevens beter te beveiligen“. Het sanctiebesluit is hier te vinden.

Uit het bericht blijkt dat de UWV een last onder dwangsom krijgt omdat het beveiligingsniveau van het werkgeversportaal niet voldoet. Onder meer ontbreekt meerfactorauthenticatie bij de toegang tot het portaal.

Waarschuwing voor private partijen
De hiervoor genoemde last onder dwangsom is een waarschuwing voor private partijen. Ook voor hen geldt dat het beveiligingsniveau voldoende moet zijn. Met name ondernemingen en organisaties die grote hoeveelheden persoonsgegevens verwerken, zoals zorginstellingen, administratiekantoren, accountantskantoren en bedrijven actief op het gebied van het uitzenden en detacheren van personeel, kunnen rekenen op aandacht van de toezichthouder.

Aanvulling 7 februari 2019
Cybersecurity bij de overheid blijft een punt van aandacht, zoals ook uit de rapporten van de Algemene Rekenkamer blijkt. Op 7 februari 2019 werden door het Ministerie van Financiën vragen over de IT van de Belastingdienst beantwoord (pdf). Onder meer naar aanleiding van het onderzoek naar de informatiebeveiliging bij de ‘Broedkamer’ en de afdeling Data & Analytics, inmiddels omgedoopt in Datafundamenten & Analytics (DF&A). Citaten uit de brief van het Ministerie:

de directeur-generaal Belastingdienst aangeeft dat het voor de Belastingdienst technisch onmogelijk is de privacy van de Nederlanders volledig te waarborgen (…)

Met de verbetermaatregelen zijn waarborgen geïntroduceerd die ervoor zorgen dat zo zorgvuldig mogelijk wordt omgegaan met gegevens van burgers en bedrijven. Het is echter, zoals gezegd, voor geen enkele organisatie mogelijk om een 100%- beveiliging van gegevens te garanderen. Er blijven altijd beveiligingsrisico’s bestaan als onderdeel van het reguliere operationele proces. Beveiliging is in de basis een continu proces van risicomanagement. De Belastingdienst voldoet aan de eisen op niveau 2, ook bekend als ‘Departementaal Vertrouwelijk’, van de Baseline Informatiebeveiliging Rijksoverheid.

In de brief wordt ook de logging van de processen besproken:

De directie DF&A zet logging in op de risicovolle delen van de werkprocessen van DF&A. Er is geen sprake van algemene logging.

Geplaatst in Belastingrecht, ICT, privacy, e-commerce | Tags: , , , , , , | Plaats een reactie

FIU’s krijgen makkelijker toegang tot financiële informatie van burgers, ondernemingen en organisaties

Geplaatst op 26 november 2018 door Ellen Timmer

Europa is al een tijd bezig om de informatiepositie van de overheid te verbeteren. In dat kader is op 21 november jl. in het bekende Vlaamse Nederlands dat de EU kenmerkt bekend gemaakt dat overeenstemming is bereikt binnen bepaalde Europese gremia over verbetering van de toegang van financiële-inlichtingeneenheden en rechts­handhavings­autoriteiten tot financiële informatie, om terrorisme en ernstige misdrijven beter te kunnen bestrijden. De nieuwe regels zullen de nodige consequenties hebben voor banken.

In het persbericht van 21 november wordt aangegeven dat op grond van de huidige Europese antiwitwasregels al centrale registers van bankrekeningen moeten worden tot stand gebracht.

Nieuw
Volgens het persbericht is het navolgende nieuw:

Het overeengekomen onderhandelings­standpunt houdt in dat de lidstaten:

• ervoor moeten zorgen dat ook de bevoegde rechtshandhavingsautoriteiten rechtstreeks en onmiddellijk toegang hebben tot informatie over bankrekeningen en daarin kunnen zoeken, voor het voorkomen, opsporen, onderzoeken of vervolgen van bepaalde strafbare feiten
• erop moeten toezien dat financiële-inlichtingeneenheden mogen antwoorden (en voldoende snel) op verzoeken om financiële informatie of analyse van de bevoegde rechts­handhavings­autoriteiten
• moeten bepalen welke bevoegde autoriteiten directe toegang krijgen tot bank­rekening­informatie (waaronder zeker “bureaus voor de ontneming van vermogens­bestand­delen”) en informatie of analyses mogen opvragen bij de financiële-inlichtingen­eenheden – de lidstaten moeten dit ook meedelen aan de Commissie
• ervoor moeten zorgen dat de aangewezen bevoegde autoriteiten de plicht hebben tijdig te antwoorden op verzoeken van de nationale financiële-inlichtingeneenheid om rechts­handhavings­informatie
• ervoor moeten zorgen dat de bevoegde autoriteiten en de financiële-inlichtingeneenheid mogen antwoorden op naar behoren gemotiveerde verzoeken van Europol om bankrekening- en financiële informatie – antwoorden mag rechtstreeks of via de nationale Europol-eenheid

Op basis hiervan zullen de onderhandelingen met het Europees Parlement van start gaan.

Meer informatie: 
persbericht, html, pdf.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft | Tags: , , , , | Plaats een reactie

Screening of investments: political agreement reached on an EU framework

Geplaatst op 25 november 2018 door Ellen Timmer

On 20 November the Council of the European Union announced that political agreement has been reached on an EU framework for screening of investments. The Presidency on that date reached a provisional agreement with European Parliament representatives on an EU framework for screening foreign direct investments (FDIs).

More information:

Geplaatst in English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt | Tags: , , | Plaats een reactie

Optreden als trustkantoor zonder vergunning leidt tot taakstraf | Wtt, strafzaak

Geplaatst op 24 november 2018 door Ellen Timmer

Op 16 november jl. heeft de Rechtbank Den Haag uitspraken gedaan inzake twee personen die de Wtt overtraden door als trustkantoor te handelen zonder vergunning. Betrokkenen gaven feitelijk leiding aan limiteds die handelden in strijd met de Wtt. De verdachten worden vrijgesproken van deelname aan een criminele organisatie.

De inhoudsindicatie in de twee zaken luidt als volgt:

Overtreding verbodsbepaling Wet toezicht trustkantoren (Wtt). Vrijspraak deelname criminele organisatie.

A ltd heeft, als onderdeel van de X Group, werkzaamheden verricht, gericht op het verlenen van trustdiensten door B ltd, een trustkantoor met een zetel in een niet-aangewezen staat dat niet beschikt over een vergunning van DNB. Hiermee heeft A ltd vanaf 1 juli 2012 de verbodsbepaling van artikel 2, derde lid van de Wtt overtreden. De verdachte heeft samen met een ander feitelijke leiding gegeven aan deze strafbare gedragingen van A ltd. De rechtbank kan niet vaststellen dat A ltd, B ltd en andere rechtspersonen behorende bij de X Group, in Den Haag/Nederland als trustkantoor werkzaam zijn geweest.

De verdachte wordt vrijgesproken van deelname aan een criminele organisatie, omdat niet bewezen kan worden verklaard dat bij de verdachte het oogmerk bestond op het medeplegen van of het medeplichtig zijn aan het plegen van misdrijven door de klanten van de organisatie.

Verwerping verweer dat toepassing van artikel 2, derde lid, Wtt een schending oplevert van het vrije verkeer van diensten zoals dat op grond van het EU-werkingsverdrag is gewaarborgd binnen de EU. Naar het oordeel van de rechtbank is sprake van een gerechtvaardigde beperking van het vrije verkeer van diensten binnen de Europese gemeenschap, nu deze beperking zijn rechtvaardiging vindt in het algemene belang, zoals dat is verwoord in de memorie van toelichting bij de Wijzigingswet financiële markten.

Vaststelling overschrijding redelijke termijn, geen gevolgen voor de strafmaat.

Taakstraf van 180 uren.

ECLI:NL:RBDHA:2018:13626
ECLI:NL:RBDHA:2018:13653

Dit bericht werd eerder gepubliceerd op de site van Compliance Platform Trustkantoren.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Strafrecht, Trustkantoren | Tags: | Plaats een reactie