Niet ontvangen e-mail bericht maar toch contributie betalen

Geplaatst op 5 augustus 2018 door Ellen Timmer

In deze uitspraak maakte ondernemer Senor Tech bezwaar tegen betaling van contributie aan de organisatie Nederland ICT. Senor Tech had de e-mail over de contributie niet ontvangen, omdat de e-mail was gestuurd aan iemand die niet meer bij Senor Tech werkte.

De rechter vindt er het volgende van:

Er kan vanuit worden gegaan dat Senor Tech tot en met 2015 jaarlijks de contributie heeft betaald. Niet weersproken is dat Nederland ICT vanaf de aanvang van het lidmaatschap jaarlijks de factuur voor de betaling van de contributie per e-mail verstuurde. Senor Tech kan zich derhalve thans niet op het standpunt stellen dat zij de factuur over 2016 te laat heeft ontvangen. Het feit dat het een e-mailadres betrof van een medewerker die niet meer in dienst is van Senor Tech, dient voor risico van Senor Tech te komen. Het had op de weg van Senor Tech gelegen om zodanige maatregelen te nemen dat de berichten gericht aan het e-mailadres van de betrokken medewerker zouden worden doorgestuurd naar een ander bij haar in gebruik zijnd e-mailadres.

Als dit voor alle per e-mail verstuurde facturen zou gelden, betekent dit dat oplettendheid is geboden…

Overigens is e-mail een onveilig en onzeker communicatiemiddel en is het hoog tijd dat er iets anders voor in de plaats komt.

Geplaatst in Contractenrecht, privaatrecht algemeen, ICT, privacy, e-commerce, Procesrecht, rechtspraak | Tags: , | Plaats een reactie

Update van de Wwft-vindplaatsen pagina | mededelingen beroepsorganisaties

Geplaatst op 4 augustus 2018 door Ellen Timmer

Door mij is de pagina met Wwft-vindplaatsen bijgewerkt.
Aan die pagina heb ik ook een automatische vergelijking (pdf) tussen de huidige en de vorige versie van de Wwft toegevoegd, voorzien van een inhoudsopgave.

Beroepsorganisaties
Eerder meldde ik al berichten van NOB en NBA en van de KNB. Inmiddels is er een nieuw bericht van de NBA, van 2 augustus jl., waarin de beroepsorganisatie schrijft:

Belangrijkste wijzigingen Wwft
2 augustus 2018

Op 25 juli 2018 is de gewijzigde Wwft in werking getreden.
De belangrijkste wijzigingen op een rij:

  • risico’s op witwassen en financieren van terrorisme inventariseren en beoordelen en maatregelen daarop afstemmen, naar aard en omvang van de accountantspraktijk;
  • een compliance- en auditfunctie inrichten naar aard en omvang van de accountantspraktijk;
  • de definitie van de uiteindelijk belanghebbende (UBO) is gewijzigd. Zo gaat de Wwft ervan uit dat iedere cliënt een UBO heeft;
  • het onderscheid is vervallen tussen binnenlandse en buitenlandse politiek prominente personen (politically exposed persons, PEP’s);
  • voor een vereenvoudigd cliëntenonderzoek geldt als voorwaarde een laag risico op witwassen vast te stellen.

Zoals NOB meldt, is zij gestart met de Richtsnoeren Wwft te actualiseren. Bij de NBA betreft dit NBA-handreiking 1124. De e-learning Wwft werken NOB en NBA in het najaar 2018 bij.

Aanvulling 9 augustus 2018
Op 9 augustus 2018 loopt de algemene informatiepagina van de rijksoverheid over de Wwft nog steeds achter.

Aanvulling 23 augustus 2018
Vandaag ontdekte ik dat FIU Nederland op 26 juli jl. de inwerkingtreding van de gewijzigde Wwft heeft aangekondigd. Wat FIU als belangrijkste wijzigingen aangeeft is echter onvolledig.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft | Tags: , , , | Plaats een reactie

Gevolgen Europese ‘Single Digital Gateway’ voor Nederlandse overheidsorganisaties

Geplaatst op 3 augustus 2018 door Ellen Timmer

VNG Realisatie schrijft in dit bericht over de Europese plannen voor een ‘Single Digital Gateway’ en de gevolgen voor Nederlandse overheidsorganisaties, onder meer:

De EU wil de informatievoorziening vanuit de lidstaten aanbieden aan alle EU-burgers en bedrijven via een Europese toegangspoort, de Single Digital Gateway. Deze digitale toegangspoort zal toegang geven tot online-informatie, -procedures en -diensten voor ondersteuning en probleemoplossing. Zo is informatie over wonen, werken en ondernemen in andere lidstaten gemakkelijk te vinden. Uitgangspunt is dat als een procedure beschikbaar is voor een burger of ondernemer van een lidstaat, deze ook toegankelijk moet zijn voor gebruikers uit andere lidstaten. Verder is het ‘Once-Only Principe’ in de verordening opgenomen. Dat wil zeggen dat gebruikers dezelfde informatie slechts eenmaal aan een Europese overheidsdienst hoeven te verstrekken.

Het complete VNG bericht heb ik toegevoegd aan een eerder bericht op dit blog.

Geplaatst in Europa, ICT, privacy, e-commerce | Tags: , | Plaats een reactie

Gegevensbescherming en e-mail nieuwsbrieven | AVG

Geplaatst op 2 augustus 2018 door Ellen Timmer

Het blijft vreemd dat we in Europa zo weinig gebruik maken van Europese IT-leveranciers; vaak wordt er zonder te kijken van Amerikanen gebruik gemaakt. Een voorbeeld van een Amerikaans bedrijf dat veel wordt gebruikt is het marketing platform MailChimp, veel gebruikt voor allerlei e-mail nieuwsbrieven.

De persoonsgegevens worden door het platform in de Verenigde Staten opgeslagen; waarschijnlijk wordt er gebruik gemaakt van Privacy Shield (zo lang die regeling nog blijft gelden), wat  betekent dat het onder AVG niet verboden is dit platform te gebruiken.

Ik heb diverse juridische nieuwsbrieven via deze leverancier, dus er is alle aanleiding om hun privacy statement eens beter te bekijken.

Privacy statement van MailChimp
In dat privacy statement staan interessante dingen. In de Engelstalige voorwaarden wordt de ontvanger van e-mail aangeduid als ‘Contact’. De ‘Member’ is degene die van de service gebruik maakt, de klant van het platform en de afzender van de e-mailberichten.

In het onderdeel van de statement over Contacts staat dat er niet alleen persoonsgegevens afkomstig van het Member worden verwerkt. Ook wordt er allerlei andere informatie verwerkt:

(ii) Information we collect automatically: When you interact with an email campaign that you receive from a Member or browse or purchase from a Member’s connected store, we may collect information about your device and interaction with an email. We use cookies and other tracking technologies to collect some of this information. Our use of cookies and other tracking technologies is discussed more below, and in more detail in our Cookie Statement here.

Device information: We collect information about the device and applications you use to access emails sent through our Services, such as your IP address, your operating system, your browser ID, and other information about your system and connection.

Product usage data: We collect usage data about you whenever you interact with emails sent through the Services, which may include dates and times you access emails and your browsing activities (such as what pages are viewed). We also collect information regarding the performance of the Services, including metrics related to the deliverability of emails and other electronic communications our Members send through the Services. This information allows us to improve the content and operation of the Services, and facilitate research and analysis of the Services.

(iii) Information we collect from other sources: From time to time, we may obtain information about you from third-party sources, such as social media platforms and third-party data providers. We take steps to ensure that such third parties are legally or contractually permitted to disclose such information to us, and we use this information to provide publicly available social media information about you to Members who have enabled the “Social Profiles” feature in their MailChimp accounts.

Degene die zich aanmeldt voor een nieuwsbrief verwacht niet dat het IP adres, het operating system en allerlei andere identificerende gegevens (“fingerprint”) worden verzameld. Dat er informatie bij derden, zoals social media (= Facebook c.s.) en “third-party data providers” wordt toegevoegd aan de eigen gegevens van het platform, is al helemaal verrassend. In de passages over de klanten en over bezoekers van de website is hetzelfde te vinden. Zo wordt bij website bezoekers het volgende opgemerkt:

In addition, we may combine Personal Information with other information we collect or obtain about you (such as information we source from our third-party partners) to serve you specifically, such as to deliver a product or service according to your preferences or restrictions, or for advertising or targeting purposes in accordance with this privacy policy. When we combine Personal Information with other information in this way, we treat it as, and apply all of the safeguards in this privacy policy applicable to, Personal Information.

Verder op wordt er eveneens melding gemaakt van het delen met derden:

We may share and disclose your Personal Information to the following types of third parties for the purposes described in this privacy policy (…)
(i) Our service providers: Sometimes, we share your information with our third-party service providers, who help us provide and support our Services and other business-related functions.
Members something they have requested (like enable a feature such as Social Profiles), then we may share Members’ or Contacts’ Personal Information with a service provider for that purpose. Other examples include analyzing data, hosting data, engaging technical support for our Services, processing payments, and delivering content.

In het deel over Contacts schrijft het bedrijf dat zij de verzamelde gegevens voor hun eigen doelen, hun “legitimate business interests“, gebruiken, wat meer is dan alleen het voorkomen van misbruik van de dienst. Uit de tekst wordt duidelijk dat de persoonsgegevens ook voor eigen marketingactiviteiten gebruikt, alles onder de noemer “To provide, support and improve the Services“.

De gegevens van één Contact (nieuwsbriefabonnee) worden door MailChimp gebruikt ten behoeve van alle klanten (Members) van het bedrijf, zo leid ik uit het onderstaande af:

We may use the Personal Information we collect or receive about you for our legitimate business interests, including (…) For our data analytics projects. Our data analytics projects use data from MailChimp accounts, including your Personal Information, to provide and improve the Services. We use information, like your purchase history, provided to us by Members, so we can make more informed predictions, decisions, and products for our Members. For example, we use data from MailChimp accounts to enable product recommendation, audience segmentation, and predicted demographics features for our Members. If you prefer not to share this data, you can opt out of data analytics projects at any time by emailing us at personaldatarequests@mailchimp.com

Ten aanzien van de grondslag is er een prachtig open eind opgenomen:

Other purposes. To carry out other legitimate business purposes, as well as other lawful purposes.

Over data protection rights citeerde ik hierboven al een opt-out bepaling. Verder staat er onder meer:

In addition, if you are a resident of the EEA, you can object to processing of your Personal Information, ask us to restrict processing of your Personal Information or request portability of your Personal Information. Again, you can exercise these rights by emailing us at personaldatarequests@mailchimp.com

Opvallend is dat deze omvangrijke dataverzamelingsactiviteiten bij MailChimp standaard aanstaan en opting out moeilijk wordt gemaakt. Een correcte gang van zaken zou zijn dat opting out bij het aanmelden wordt aangeboden.

In de voorwaarden staat een waarschuwing voor contact met MailChimp via social media zoals Facebook:

Any information, communications, or materials you submit to us via a social media platform is done at your own risk without any expectation of privacy.

Zou dat niet ook gezegd moeten worden voor de dienst van deze leverancier?

Iedereen die als deelnemer (Member) gebruik maakt van dit marketing platform stelt MailChimp in staat om persoonsgegevens van de geadresseerden van nieuwsbrieven (Contacts) te verzamelen en voor andere doelen te gebruiken. Veel Nederlandse bedrijven en organisaties volstaan in hun aanmeldformulier met verwijzing naar de algemene voorwaarden en het privacy statement van het marketing platform. Ik denk dat dit onvoldoende is, als ik het bovenstaande zo zie.

Overigens heb ik niet gekeken in hoeverre het platform gebruik maakt van technieken als session-replay scripts, een methode om mee te lezen met degene achter de computer, waarmee zelfs wachtwoorden en andere vertrouwelijke informatie kan worden onderschept. In dit bericht wordt het uitgelegd.

Alternatief? Laposta
Nu mogelijk binnenkort een einde komt aan Privacy Shield, is er alle reden om te kijken naar een Europees alternatief.
En die zijn er, al zijn ze minder bekend. Ik heb geen uitputtend onderzoek gedaan, maar kwam het Nederlandse bedrijf Laposta tegen, met informatie over hun product dat er veel positiever uitziet. Zij verklaren zich aan de AVG te houden en schrijven in hun privacy statement dat zij zelfs bij gratis accounts de persoonsgegevens niet zelf gebruiken:

Beveiliging klantgegevens bij een gratis account
Nadrukkelijk vermelden wij dat het gratis account geen verborgen voorwaarden kent. Ook bij een gratis account gebruiken wij je (relatie)gegevens op geen enkele wijze; ook dan verkopen of geven wij deze niet aan derden.
Wij gebruiken gratis accounts ook niet voor het maken van reclame. Uitzondering op deze regel is een (bescheiden) verwijzing naar Laposta onderaan elke verzonden nieuwsbrief.

Een gelijksoortige mededeling wordt over betaalde accounts gedaan. Ook de cookie statement ziet er veel beter uit. Zo staat er:

Voor ons statistiekenprogramma en deze website maken wij nadrukkelijk geen gebruik van third-party cookies. Third-party cookies zijn cookies waarmee het gedrag van bezoekers over verschillende websites heen kan worden gevolgd. Vooral advertentienetwerken maken hiervan gebruik.

Tijd voor een onafhankelijke test
Uit het bovenstaande kan worden afgeleid dat het hoog tijd wordt dat de nieuwsbrieven service aanbieders eens uitvoerig worden getest op eigenschappen en naleving van de AVG. Er zijn mogelijk meer Europese aanbieders die een goede nieuwsbrievendienst leveren.

Gebruikers van e-mail diensten doen er goed aan na te denken over een zorgvuldige keuze van de leverancier, dus één die de persoonsgegevens alleen gebruikt ten behoeve van de gebruiker.

Aanvulling 8 november 2018
Inmiddels is de Rotterdamse Orde van Advocaten Laposta als nieuwsbrievendienst gaan gebruiken. Dat geeft aan dat zij een AVG-bewuste keuze hebben gemaakt.

Geplaatst in ICT, privacy, e-commerce | Tags: , | Plaats een reactie

Nepnieuwsbestrijding

Geplaatst op 1 augustus 2018 door Ellen Timmer

Dankzij internet kan informatie zich snel verspreiden. Dat kan nuttige informatie zijn, zoals van de overheid. Maar ook rommel verspreidt zich met de snelheid van het licht.

In een Duits-Frans cybersecurity rapport las ik dat 86% van het totale e-mail verkeer potentieel ongewenst en ‘boosaardig’ (maliziös) is. Welk gedeelte van het internet troep en rommel bevat, zag ik niet, misschien is dat een zelfde percentage. Malware vormt een belangrijke deel van de ‘rommel’ die rondwaart op het internet. Ook de berichten over de grote omvang die moderatie heeft bij allerlei websites (inclusief social media) geeft aan dat kennelijk maar een heel klein deel wat rond gaat niet-malafide of anderszins ongewenst is.

Het lastige van nepnieuws is dat het niet alleen van trollen en criminelen komt. Journalisten gaan wel eens de fout in (voorbeeld). Ook sommige overheidsvertegenwoordigers doen enthousiast mee aan verspreiding van nepnieuws, neem bijvoorbeeld een heerschap aan de andere kant van de oceaan. Als gevolg daarvan is het vak van ‘factchecker’ serieus geworden.

Inmiddels ontstaan er zorgen, met name dat nepnieuws beter doorkomt dan serieuze informatie. In Europa is over het onderwerp nagedacht. Ook binnen de Nederlandse overheid is men er mee bezig.

Verkenning Autoriteit Consument & Markt en het Commissariaat voor de Media
Twee Nederlandse overheidsinstellingen, de ACM en de CvdM hebben zich in het onderwerp nepnieuws verdiept en publiceerden dit bericht:

Neem nepnieuws serieus, ook al is de impact daarvan nu nog beperkt
De Autoriteit Consument & Markt (ACM) en het Commissariaat voor de Media (CvdM) herkennen de risico’s van het op grote schaal verspreiden van nepnieuws via online platforms. Hoewel de impact van nepnieuws op de Nederlandse consument op dit moment beperkt is, waarschuwen de toezichthouders ervoor dat dit niet vanzelfsprekend zo blijft. Het gaat nu nog goed met de nieuwsmedia in Nederland en zij kunnen nog tegen een stootje. Toch zijn investeringen nú nodig om ervoor te zorgen dat ons nieuws divers, onafhankelijk en toegankelijk blijft. De toezichthouders benoemen een aantal mogelijke acties, zodat nepnieuws ook in de toekomst geen voet aan de grond krijgt.

Dat blijkt uit een gezamenlijke verkenning van de ACM en het CvdM naar digitalisering en nepnieuws. De twee toezichthouders presenteren feiten en analyses over nieuwsvergaring via online platforms en de verspreiding van nepnieuws.

Risico’s nepnieuws

De impact van nepnieuws is op dit moment beperkt omdat de nieuwsvoorziening in Nederland divers en kwalitatief goed is en de consument het aanbod goed weet te benutten. Maar er zijn risico’s:

  • Verdringing van kwaliteitsnieuws: als consumenten nieuws nog slechts via een zeer beperkt aantal platforms afnemen, kan dat ertoe leiden dat kwaliteitsnieuws moeilijk te bekostigen is en daardoor wordt verdrongen. Nepnieuws krijgt dan meer kans.
  • Verschraling van het nieuwsaanbod: de verdere groei van sociale platforms kan ertoe leiden dat traditionele nieuwsaanbieders steeds meer ‘sensatie-content’ plaatsen. Daardoor verschraalt de kwaliteit van het nieuwsaanbod en komt een belangrijke functie van de media voor het bevorderen van de democratie onder druk te staan.
  • Verdunning van de mediasector: de afgelopen jaren is er een sterke toename te zien geweest van fusies en overnames in de mediasector. Mede vanwege de steeds sterkere concurrentie van andere online diensten wordt verwacht dat die trend zich zal doorzetten. Net als voor alle bedrijven in Nederland geldt ook voor mediabedrijven dat zij niet zó dominant mogen worden dat ze de concurrentie kunnen belemmeren. Grote fusies moeten gemeld worden bij de ACM, die deze dan toetst op grond van de Mededingingswet. Voor de pluriformiteit van de media is dit van belang: concurrentie tussen nieuwsaanbieders versterkt de resistentie tegen nepnieuws.

Mogelijke acties

De ACM en het CvdM noemen een aantal mogelijke acties aan de verschillende partijen om ervoor te zorgen dat nepnieuws ook in de toekomst weinig voet aan de grond krijgt in Nederland:

  • Zorg voor de innovatie en nieuwe verdienmodellen die nodig zijn in een sterk veranderend (Nederlands) medialandschap. Het is primair aan nieuwsaanbieders zelf om te blijven investeren om de huidige hoge kwaliteit van de nieuwsvoorziening in stand te houden.
  • Neem als online platforms maatregelen om nepnieuws te filteren, goede informatie beter vindbaar te maken en transparant te zijn over de manier hoe zij nieuws presenteren.
  • Investeer in ‘mediawijsheid’ van consumenten. Bewust kiezende consumenten die meerdere bronnen gebruiken beperken de impact van nepnieuws. De toezichthouders zullen in samenwerking met anderen bekijken welke initiatieven ontplooid kunnen worden om consumenten meer mediawijs te maken.

Waarom dit onderzoek?

De ontwikkelingen in de mediasector en de toenemende mogelijkheden om nepnieuws te verspreiden vormden aanleiding voor deze gezamenlijke verkenning. Digitalisering biedt veel kansen voor nieuwe en bestaande media, maar zorgt ook voor bedreigingen, zoals nepnieuws. Snel en massaal verspreid nepnieuws is schadelijk en kan burgers beperken in het maken van goed geïnformeerde keuzes.

Expertises toezichthouders combineren

Voor dit onderzoek combineerden de ACM en het CvdM hun expertise. De ACM ziet erop toe dat consumenten goed worden geïnformeerd en bestrijdt oneerlijke concurrentie. Het CvdM ziet toe op pluriformiteit, toegankelijkheid en onafhankelijkheid van de Nederlandse media.

Overigens moet nog worden bezien of de hier aanbevolen oplossingen gaan werken. Joris Luyendijk schrijft terecht (niet specifiek over nepnieuws):

Angst verkoopt, net als woede, geweld, onzin en geruststellende leugens. Zelfkritiek verkoopt niet. Ambiguïteit ook niet. Erkenning van machteloosheid doet het slecht en een oproep tot offers is politieke zelfmoord >>>

Meer informatie:

Geplaatst in Europa, Grondrechten, ICT, privacy, e-commerce | Tags: , , | Plaats een reactie

Consultatiereacties ontwerp Besluit toezicht trustkantoren 2018

Geplaatst op 1 augustus 2018 door Ellen Timmer

Eerde meldde ik de start van de consultatie inzake het ontwerp Besluit toezicht trustkantoren 2018 en het opmerkelijke voorstel om door middel van een algemene maatregel van bestuur alle gevolmachtigden tot trustkantoor te bestempelen.

Inmiddels is de consultatie gesloten. Er zijn vier openbare reacties, een reactie van A. Zoutendijk, een reactie van trustkantoren brancheorganisatie Holland Questor (HQ) en tot slot een reactie van de Nederlandse Orde van Belastingadviseurs (NOB) en één korte van mij op het volmacht-voorstel.

Volmacht
NOB en HQ besteden aandacht aan het idee om volmacht als trustdienst te bestempelen, waarbij HQ een voorstander er van is om de algemene volmacht onder de Wet toezicht trustkantoren te brengen.

Dat is wat mij betreft eveneens een zeer slecht idee en hoort sowieso niet in een algemene maatregel van bestuur thuis. Voorts hoort op gedetailleerde wijze te worden onderbouwd waarom een privaatrechtelijk concept met brede werking in het contractenrecht op een dergelijke manier het financiële recht ingetrokken moet worden. Mij lijkt dat hier op zijn minst een goede analyse door privaatrechtelijke deskundigen aan vooraf hoort te gaan.

Nominee shareholder
De reactie van HQ bevat een opmerkelijk onderdeel. HQ meent dat bij Nederlandse kapitaalvennootschappen de ‘nominee shareholder‘ (een Angelsaksisch fenomeen) zou voorkomen en dat gewenst is deze dienst als trustdienst aan te wijzen. Zelf ben ik in mijn Nederlandse praktijk nog geen nominee shareholder tegen gekomen (maar uiteraard zie ik niet alles). De Wtt kent wel de ‘doorstroomvennootschap’, maar dat bedoelt HQ waarschijnlijk niet. De roep van HQ om het leveren van een nominee shareholder als trustdienst te bestempelen begrijp ik niet.

Beleidsbepaler en bestuurder
Al eerder signaleerde ik dat in het financiële recht slordig wordt omgegaan met het begrip ‘beleidsbepaler’ en dat de verhouding tussen beleidsbepaler en statutair bestuurder niet correct wordt uitgewerkt. HQ schrijft in haar reactie ook over dat onderwerp:

E. Functiescheiding – Twee beleidsbepalers/ twee bestuurders?
In artikel 11 van de Wtt18 wordt de eis geformuleerd dat tenminste twee natuurlijke personen het dagelijks beleid bepalen van een trustkantoor. In artikel 8, eerste lid, onderdelen a en b, Wtt18, wordt een onderscheid gemaakt tussen bestuurders en commissarissen enerzijds en beleidsbepalers en mede-beleidsbepalers anderzijds. Artikel 19, vierde lid, van het ontwerpbesluit, spreekt echter van twee verschillende bestuurders. Hierdoor lijkt via een achterdeur alsnog te worden geëist dat de twee beleidsbepalers ook bestuurder zijn. Is dit beoogd? HQ stelt voor om in artikel 19, vierde lid, van het ontwerpbesluit, het woord “bestuurders” te vervangen door “beleidsbepalers”. Of heeft de wetgever hier bewust de woorden “bestuurders” genoemd, bijvoorbeeld om te voorkomen dat het bestuur van een trustkantoor de verantwoordelijkheid over de compliancefunctie en de auditfunctie toebedeelt tot het (takenpakket van) één bestuurder (op grond van art. 2:9 BW)? Het zou de wetgever sieren helderheid te verschaffen over haar bedoeling achter het huidige artikel 19 lid 4 Btt 2018. HQ denkt graag mee indien gewenst.

Dit artikel is geplaatst op de site van Compliance Platform Trustkantoren

Geplaatst in Contractenrecht, privaatrecht algemeen, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Trustkantoren | Tags: , , , , | Plaats een reactie

Stoer Angelsaksisch poortwachtersproza | AML

Geplaatst op 30 juli 2018 door Ellen Timmer

Het moderne antiwitwasproza is fascinerend. In de UK, het land waar het witwassen is uitgevonden en een land met een rijke historie op het gebied van belastingparadijselijke eilandjes, schrijft de overheid epistels met dit soort koppen: “Up to 5 years in prison for criminals who use UK property market for money laundering“.

Vervolgens staat er “5 years in jail for criminals who illegally profit from owning British property” wat toch iets anders is dan witwassen. Natuurlijk volgen de bekende naïeve stoere transparantieverhalen, “new public information will make it easier for law enforcement agencies to tackle money laundering while reducing opportunities for criminals to hide“.

Ook mooi proza: “For too long criminals have been able to use the property industry as a front for investing dodgy funds, hiding dirty money and evading the law. This stops now.

De vastgoed sector knikt zoet “ja” onder het transparantiegeweld “new data reveals nearly 75% of UK property industry agree new register will lead to increase in transparency and reduce potential for illegal activity“.

Overigens: voor zover ik weet heeft de UK geen fatsoenlijk kadaster. Waarom voeren ze niet gewoon een kadaster in, naar model van “The Continent”?

Degenen die willen weten hoe je poortwachtersproza in het Engels schrijft, adviseer ik het artikel goed te lezen. Het eindigt met: “The UK has taken a leading role in the fight against money laundering“.

England rules the waves again!

 

PS Die gouvernementele diefstal van onlangs zien we door de vingers.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft | Tags: , , , | Plaats een reactie

De nieuwe vorm van mensenhandel | ‘gepersonaliseerde’ aanbiedingen

Geplaatst op 29 juli 2018 door Ellen Timmer

Het is fascinerend om te zien hoe iedere burger met toegang tot het internet, maakt niet uit of het zakelijk of privé is, online wordt verhandeld door middel van ‘gepersonaliseerde’ prijzen en aanbiedingen. Soms gaat dat via digitale veilingen, zoals onder meer in het proefschrift van Borgesius is te lezen.

Onlangs is een Europese studie bekend gemaakt over deze moderne mensenhandel (oftewel handel in persoonsgegevens). Daarbij is gebruik gemaakt van mystery shoppers.

Uit de aankondiging op de site van de Europese Commissie blijkt onder meer:

  • Meer dan 3/5e van de e-commerce websites personaliseert de bezoeker via de toegangsroute naar de site (bijvoorbeeld prijsvergelijkingsites, zoekmachines, het gebruikte mobiele apparaat).
  • 92% van de aanbieders van vliegtickets personaliseert het aanbod; 76% van de hotelkamer sites personaliseert wat wordt aangeboden; bij sportschoenen wordt door 41% gepersonaliseerd.
  • Consumenten maken zich grote zorgen over het verzamelen van persoonsgegevens door internetwinkels.

De aankondiging zegt het volgende over het gebruik van de uitkomsten van het onderzoek:

How will these findings be used?
The policy approaches suggested in this study should be seen in the light of the newly applicable General Data Protection Regulation (GDPR) and the reform of the ePrivacy Directive. The study suggests actions to enforce the Regulation’s provisions with respect to online traders’ transparency obligations towards consumers, as well as initiatives to increase the cooperation and information exchange on personalisation practices between consumer and data protection authorities. Self-regulatory actions, such as the development of EU-wide standards and best practices on the use of personalisation practices, are recommended for the e-commerce industry. The study also suggests ways to increase consumer awareness and concrete ideas for further research in this area.

Voorts wordt gewaarschuwd voor de razendsnelle technische ontwikkelingen:

The mystery shopping findings data on pricing should be interpreted with care. The advanced technological means for online personalisation are extensive and developing rapidly, and hence difficult to detect by a research methodology, especially since pricing algorithms, increasingly used for both price discrimination and dynamic pricing, are often involved.

Tracking
Adtech bedrijven zijn druk bezig met het uitbreiden van hun trackingsmogelijkheden, niet alleen via het internet (zoals via session-replay-scripts). Het lijkt zelfs via kleding te kunnen, zie het recente bericht over de Hilfiger kleding.

Tegengif?
Het Internet of Stupid Things komt er aan. Onveilige dingen die ons tracken en zeer onveilig zijn. Het wordt tijd dat er handleidingen beschikbaar komen, waarmee we die onveilige onderdelen kunnen traceren en uit voorwerpen kunnen slopen.

Als de aanbieders van de onveilige en trackende voorwerpen nu eens een boete aan de burger zouden moeten betalen als een onveiligheid wordt aangetroffen, dan wordt de cybersecurity en tracking bestrijding vast veel interessanter voor die aanbieders. Ik stel voor EUR 1000 per voorwerp.

Meer informatie:

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , | Plaats een reactie

eID | voortgangsrapportage

Geplaatst op 28 juli 2018 door Ellen Timmer

Op 16 juli jl. stuurde de minister van binnenlandse zaken een voortgangsrapportage over het project over veilige communicatie tussen burger en overheid, het ‘eID’ project.

Onveilig inloggen bij overheid en ziektekostenverzekeraars c.s.
Na de constatering dat veel overheden en gelieerde partijen (‘dienstverleners in het BSN-domein’) op dit moment onveilig toegang verlenen, namelijk door middel van gebruikersnaam en wachtwoord (in plaats van op zijn minst tweefactorauthenticatie), geeft de minister aan dat voor veel elektronische communicatie tussen overheid en burger een beter beveiligde wijze van inloggen nodig is. Inmiddels zouden hier methoden voor ontwikkeld zijn:

Het programma eID heeft daarvoor “DigiD Substantieel” en “DigiD Hoog” ontwikkeld. Kernwaarden hierbij zijn veiligheid van inloggen, voldoende waarborgen voor de privacy en het borgen van gebruiksgemak.

Inlogmethoden met hogere betrouwbaarheidsniveaus maken tegelijkertijd nieuwe vormen van elektronische dienstverlening mogelijk (innovatie), zoals bijvoorbeeld de ontwikkeling van persoonlijke gezondheidsomgevingen en patiëntportalen.

Inclusie
Ook de mensen die digitaal minder vaardig zijn (ik schat ongeveer negentig procent van de Nederlandse bevolking) krijgen aandacht, door middel van een ‘inclusie’ project van de rijksoverheid, daarover zal nadere informatie volgen. Ik ben benieuwd.

Rijbewijs met DigiD Hoog
Nieuwe rijbewijzen zijn geschikt voor een veilige communicatie, het zogenaamde ‘DigiD Hoog’, aldus de brief. Dat klinkt goed, maar dan zijn we er nog niet.

De brief spreekt over het gebruik van NFC, Near Field Communication, dat het Google operating system (OS) android wel mogelijk maakt en het Apple OS, iOS, nog niet. Dat dit bij Apple niet mag, zal veiligheidsredenen hebben.
Uit de brief begrijp ik dat bij het gebruik van het nieuwe rijbewijs alleen mogelijk is in combinatie met een apparaat dat met NFC werkt. Vraag is dan: waarom kan er niet met een aparte NFC-lezer worden gewerkt (in plaats van een android- of iOS-apparaat).

Verificatie en ontkoppeling
De grote vraag bij het gebruik van apparaten (zoals smartphones en tablets) is of het apparaat wel aan de betreffende burger toe behoort en hoe het in zijn werk gaat als het apparaat is gestolen of wordt verkocht: kan de burger dan de koppeling van het apparaat aan het overheidsaccount makkelijk beëindigen?

Self service kiosk
In de brief wordt aan de orde gesteld dat inloggen ook mogelijk kan worden via “een selfservice kiosk op nader te bepalen punten in steden en dorpen“. Daarbij vraag ik me af hoe veilig zoiets gaat zijn of het niet eens tijd wordt om bijvoorbeeld het notariaat bij dit soort functies te betrekken.

Private authenticatiediensten
Vanaf het begin had het ministerie (te) grote verwachtingen van private partijen rondom authenticatie. In deze brief wordt er over gesproken en wordt een Europese aanbesteding aangekondigd. Ik blijf met de vraag zitten hoe het zit met de integriteit van dit soort partijen. Tot nu kwam ik alleen documenten tegen waarin over de technische eisen wordt gesproken. Ook de organisatie, de beleidsbepalers en de medewerkers met hoge toegangsrechten horen integer te zijn. Ook hier hoor ik daar niets over.

Dat ook grote partijen de fout in gaan, wordt door Post NL geïllustreerd, die in het nieuws kwam vanwege het illegaal ‘delen’ van gegevens met commerciële partijen.

Gemiste kansen
Wat ik mis in deze brief:

  • Speciale aandacht voor het complete identiteitsmanagement van burger en organisatie, met flexibele mogelijkheden voor iedereen, afhankelijk van het gemak dat men wil (“alle eieren in één mandje”) respectievelijk het risico dat men bereid is te lopen.
  • Mogelijkheden om authenticatiemethoden te beperken tot bepaalde omgevingen. Bijvoorbeeld: gebruik DigiD Hoog alleen voor de  belastingaangifte, verder niet.
  • Automatische digitale vaardigheden tests, als onderdeel van de digitale overheidsomgevingen.
  • Verificatie van apparaten en van telefoonnummers.

PS Bij Logius blijven ze vrolijk, ‘Weg met de papierwinkel’ schrijft de organisatie. Dus die lekken die andere beroepsregisters in het verleden hadden zullen hier niet voorkomen. En de private partijen die mee doen, zijn volkomen integer.

Aanvulling 2 augustus 2018
Zie over de digitale overheid ook het NL DIGIbeter document, dat in juli 2018 is bekend gemaakt. Daarin worden plannen over de digitale overheid ontvouwd.

Aanvulling 28 november 2018 
De ontwikkelingen gaan verder. Op iBestuur leverde hoogleraar Jacobs kritiek op het eID project, “Het dossier waarop achtereenvolgende bewindslieden op het ministerie van Binnenlandse Zaken (BZK) het minste voortgang hebben geboekt is waarschijnlijk dat van de elektronische identiteit (eID)”.

Aanvulling 6 februari 2019
Op 29 januari 2019 stuurde BZK een brief aan de Tweede Kamer over de voortgang. Het ministerie belooft wendbaar en flexibel te zijn (het toverwoord ‘agile‘) en overal aan te denken:

IJkpunten voor de implementatie zijn de waarden gebruiksvriendelijkheid, veiligheid en betrouwbaarheid uit de agenda NL DIGIbeter, alsmede digitale inclusie.

Mooi woord, dat ‘digitale inclusie‘. Het ministerie schrijft moeilijke zinnen over het onderwerp, het is te hopen dat de uitvoering van het eID programma leidt tot een hoge kwaliteit van de communicatie overheid-burger, dus niet met moeilijke woorden. Veiliger zal het ook worden. Ik ben benieuwd.

Geplaatst in ICT, privacy, e-commerce | Tags: , , , , , , , , , | Plaats een reactie

Fiscale fabeltjes

Geplaatst op 27 juli 2018 door Ellen Timmer

Follow the Money is een liefhebber van financiële criminaliteit. De interesse van hun journalisten gaat in dat verband ook uit naar doelvennootschappen van trustkantoren, die in dit artikel van Arno Wellens als ‘kamerplantbedrijven’ worden gepresenteerd.

In het artikel wordt de Nederlandse overheid beschuldigd van nalatigheid. Zo wordt beweerd dat de privacy van criminelen wordt beschermd, zij fiscaal zouden worden gefaciliteerd en de sanctieregelgeving niet zou worden nageleefd.

Asset protection
Ik weet niets van de Rus waarover dit sappige artikel gaat of over de feiten. Wat ik wel weet is dat Oosteuropeanen vaak in Nederland zitten wegens iets dat ‘asset protection’ heet, dus niet om fiscale redenen. Het zou me daarom niets verbazen als het relaas van Wellens over door hem vermoede fiscale voordelen onjuist is. Het substance verhaal dat Wellens houdt, slaat dan nergens op. Wat asset protection inhoudt is niet moeilijk te achterhalen. Uit het artikel blijkt niet dat de auteur zich hier in heeft verdiept en dit heeft uitgesloten, en ook niet dat hij heeft vastgesteld dat er daadwerkelijk sprake was van fiscale oogmerken.

Bevriezing
Ook het sanctieregelgevingsverhaal is te gemakkelijk. Als de betrokken Rus op de Europese sanctielijst is geplaatst, nádat hij statutair directeur van de Nederlandse entiteit is geworden, krijg je hem niet zo maar weg als directeur. Plaatsing op een sanctielijst betekent, anders dan de auteur van het artikel denkt, niet dat je geen directeur van een Nederlandse vennootschap kunt zijn. Het kan wel betekenen dat de structuur waar de ‘geliste’ persoon in zit ‘bevriest’, dat er niets meer kan gebeuren. Uit het artikel blijkt niet dat de auteur zich hier in verdiept.

Overigens zal het niet gemakkelijk zijn om ‘uit de verte’ directeur te zijn.

Privacy
Over privacy staat in het artikel niet meer dan een citaat van een parlementslid die spreekt over het basisprincipe van belastingheffing: de vertrouwelijkheid van de persoonsgegevens van belastingplichtigen. Met vervolgens de onzintekst “Die privacybescherming dekt kennelijk ook bezitters van bedrijven met lege brievenbussen en kapitaal van dubieuze herkomst“. De auteur is kennelijk niet op de hoogte van de intensieve gegevensuitwisseling die tussen allerlei Nederlandse bestuursorganen en overheidsinstellingen plaats vindt. Ook de verplichting van trustkantoren om melding van ongebruikelijke transacties te doen en (wellicht via de bank) tegoeden te ‘bevriezen’ lijkt onbekend.

De geheimhoudingsverplichting heeft tot gevolg dat de media die vertrouwelijke informatie niet krijgt. Het is de vraag of dat erg is.

Tot slot
De Nederlandse overheid moet het spel spelen volgens de spelregels, spelregels waar de auteur van het artikel kennelijk geen belangstelling voor heeft.

Een dergelijke desinteresse leidt tot gemakkelijke conclusies als
de Amsterdamse Zuidas als een soort Wilde Westen, waar de optredende overheid afwezig is en
Als zelfs … zich niet aan de regels hoeft te houden in belastingparadijs Nederland, wie dan nog wel?

Dat noem ik luie journalistiek.

PS 1 Ook reguliere ondernemingen hebben houdstermaatschappijen. Het kamerplantbedrijven gedoe is flauwekul.
PS 2 Uiteraard ben ik tegen criminaliteit. Maar dat betekent niet dat de overheid zich niet aan bepaalde spelregels moet houden.

Dit artikel heb ik ook geplaatst op de site van Compliance Platform Trustkantoren

Geplaatst in Belastingrecht, Dienstverlening - juridisch financieel [advocaten, accountants, belastingadviseurs e.d.], Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce, Sanctieregels, Trustkantoren | Tags: , , , , , | 2 reacties