The not so secret life of boarding passes

Geplaatst op 5 mei 2018 door Ellen Timmer

Overal zijn datalekken, maar één van de grootste lijkt bij de luchtvaartmaatschappijen te zijn, zo blijkt uit het artikel “The not so secret life of boarding passes“, van 20 april jl. De auteur adviseert boardingpassen te shredden.

Geplaatst in ICT, privacy, e-commerce | Tags: , , | Plaats een reactie

Databrokers in de financiële sector? Niets aan de hand zegt minfin | WorldCheck

Geplaatst op 4 mei 2018 door Ellen Timmer

Handelaren in persoonsgegevens zijn zeer grote partijen en opereren deels onder de radar. Één daarvan is het bedrijf WorldCheck, dat een tijd geleden negatief in het nieuws kwam.

Uit een recent verschenen publicatie blijkt dat het ministerie van financiën het probleem van datahandelaren (data brokers) niet zo ziet. Aanleiding voor de mededelingen van het ministerie was de volgende motie:

Motie van de leden Buitenweg en Verhoeven. In deze motie wordt aan de regering verzocht om de huidige toepassing van World-Check door financiële dienstverleners te onderzoeken op onregelmatigheden en maatregelen te treffen tegen onterechte uitsluitingen.
Debat terrorismebestrijding d.d. 27 juni 2017 (Kamerstukken II 2016/17, 29 754, nr. 428)

Het ministerie geeft de volgende reactie:

Op grond van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) dienen verschillende instellingen, waaronder ook banken en andere financiële ondernemingen, zich in te spannen om te voorkomen dat hun dienstverlening wordt gebruikt voor witwassen en onderliggende basisdelicten alsmede financieren van terrorisme. De Wwft schrijft daartoe een verplicht cliëntenonderzoek voor.1 Veel instellingen gebruiken hiervoor informatieproducten van derden. Thomson Reuters (TR) is één van de partijen die daarvoor databases aanbiedt onder de naam World-Check.
Naar aanleiding van de motie Buitenweg/Verhoeven zijn gesprekken gevoerd met diverse partijen.2 In dat kader is gevraagd naar de toepassing van World-Check en mogelijke onregelmatigheden daarbij. Hieruit is gebleken dat instellingen producten zoals World- Check en vergelijkbare producten van andere aanbieders beschouwen als een waardevolle en noodzakelijke tool voor hun cliëntenonderzoek. Wanneer een cliënt in een World-Check database voorkomt3, verricht een instelling in de praktijk ook eigen, aanvullend, onderzoek naar de cliënt. Hierbij raadpleegt de instelling verschillende andere bronnen om tot een eigen oordeel te komen.4 World-Check werkt volgens de gesprekspartners in de praktijk derhalve niet als een “zwarte lijst”. Geen van de partijen met wie is gesproken herkende het beeld van (grootschalige) onregelmatigheden bij de toepassing van World-Check. De toezichthouders AFM, DNB en AP gaven ook aan hierover geen signalen te hebben ontvangen.
De Europese en Nederlandse privacy regelgeving5 is van toepassing op TR. In Nederland wordt op de naleving van deze regelgeving toezicht gehouden door de AP. TR heeft aangegeven dat zij conform de geldende wet- en regelgeving een procedure heeft voor verzoeken tot inzage in en correctie van persoonsgegevens. In de periode voorafgaand aan de berichtgeving over World-Check in de media is er volgens TR geen gebruik gemaakt van deze mogelijkheden. Na deze berichtgeving hebben 20 personen inzage in hun persoonsgegevens gevraagd, waarbij uiteindelijk bij drie personen gegevens in de database zijn gecorrigeerd.
Gelet op het feit dat geen signalen naar voren zijn gekomen van onregelmatigheden bij de toepassing van World-Check, acht ik het treffen van maatregelen tegen onterechte uitsluiting op dit moment niet noodzakelijk.

[Noten]

1 In het kader van dit cliëntenonderzoek verzamelen de betreffende instellingen onder meer informatie over de identiteit van de cliënt, diens uiteindelijk belanghebbende en het doel en de aard van de beoogde relatie met de cliënt.
2 Er zijn gesprekken gevoerd met Thomson Reuters (de leverancier van World-Check), De Nederlandsche Bank (DNB), de Autoriteit Financiële Markten (AFM), de Autoriteit Persoonsgegeven (AP), de Nederlandse Vereniging van Banken (NVB) en twee grootbanken.
3 De leverancier biedt verschillende lijsten aan waarop gescreend kan worden.
4 Financiële dienstverleners gebruiken hiervoor bijvoorbeeld Factiva (voor het zoeken naar negatieve mediaberichten in wereldwijde krantenartikelen) en Reprisk (voor het inventariseren van ESG risico’s).

 

Aanvulling 23 april 2024
World-Check, de leverancier van persoonsgegevens voor de witwasbestrijding, is gehackt, lees dit bericht.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce | Tags: , , , , , , | Plaats een reactie

AVG in de financiële sector

Geplaatst op 3 mei 2018 door Ellen Timmer

Onlangs heeft de minister van financiën in een reactie op de jaarlijkse lijst van wetgevingswensen van DNB en AFM opmerkingen gemaakt over de rol van de Algemene Verordening Gegevensbescherming in de financiële sector. Ook de positie van de Autoriteit Persoonsgegevens komt daarbij aan de orde.

2. Snelle ontwikkeling van big data
In de Algemene Verordening Gegevensbescherming die vanaf mei 2018 van toepassing wordt, is het toezicht op verwerking van persoonsgegevens opnieuw vorm gegeven. Het Europese kader dat is geschapen met die verordening geldt onverkort voor de financiële sector. Specifieke maatregelen in Nederland door verdere regulering van verwerking van persoonsgegevens in de financiële sector acht ik niet nodig en onwenselijk. Samen met de toezichthouders (de Autoriteit Consument & Markt, de AFM, de Autoriteit Persoonsgegevens, DNB) wordt momenteel bezien of er wat betreft het toezicht op de naleving van regels over gegevensgebruik sprake is van overlap, lacunes en te overbruggen interpretatieverschillen inzake bevoegdheden en verantwoordelijkheden – een en ander gericht op effectievere samenwerking.

3. Informatiedeling met Autoriteit Persoonsgegevens
Ik ben hierover in gesprek met zowel de AFM als DNB. Hierbij is het volgende van belang.
Door het toenemende gebruik van data, ook in de financiële sector, groeit het belang van afstemming tussen de AFM en DNB en de Autoriteit Persoonsgegevens Onderdeel daarvan is het uitwisselen van toezichtinformatie. Dit kan de effectiviteit van het toezicht vergroten. en van samenwerking.
Tegelijkertijd geldt voor de AFM en DNB een verplichting om informatie over instellingen die zij in het kader van het toezicht verzamelen geheim te houden. Die verplichting is voor veel toezichtterreinen afkomstig uit Europese regelgeving en daarom in elk geval op de korte termijn een gegeven. De geheimhoudingsverplichting is bovendien evengoed van belang voor effectief toezicht.
Een en ander betekent dat een algemene grondslag om informatie over individuele instellingen te delen met de Autoriteit Persoonsgegevens niet tot de mogelijkheden behoort. Dit neemt niet weg dat de toezichthouders kennis kunnen delen en op strategisch niveau informatie over het toezicht kunnen uitwisselen. Ook kan in specifieke gevallen gezamenlijk worden bekeken aan welke informatie over individuele instellingen precies behoefte bestaat en of de uitwisseling daarvan wettelijk mogelijk kan worden gemaakt. Een duidelijk voorbeeld hiervan is het toezicht op de herziene richtlijn betaaldiensten. In het kader van het toezicht op betaalinstellingen worden dan ook nu ervaringen met deze samenwerking opgedaan. Ook is het mogelijk gemaakt om gegevens over dit toezicht uit te wisselen. Ervaring die met deze samenwerking worden opgedaan kunnen vervolgens ook op andere terreinen worden gebruikt.

Geplaatst in Financieel recht, onder meer Wft, Wtt, ICT, privacy, e-commerce | Tags: , , , , , , | Plaats een reactie

Commentaar op Nederlandse ubo-regels

Geplaatst op 3 mei 2018 door Ellen Timmer

Op 1 mei jl. heeft belastingadviseursorganisatie NOB geadviseerd over het ontwerp Uitvoeringsbesluit Wwft, met name over de Nederlandse ubo-regels. >>> Lees verder

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Ubo-register | Tags: , , | Plaats een reactie

AVG: accountants en belastingadviseurs zijn geen ‘verwerkers’

Geplaatst op 3 mei 2018 door Ellen Timmer

Voor Accountancy Vanmorgen schreef ik onderstaand artikel.

Tijdens een bijeenkomst van de Nederlandse Orde van Advocaten waren de aanwezige privacyspecialisten er helder over: een advocaat is ten opzichte van zijn cliënt altijd ‘verantwoordelijke’ in de zin van de nieuwe privacyregelgeving, de Algemene Verordening Gegevensbescherming (AVG – maar onder de huidige wet is dat niet anders.) Accountants en belastingadviseurs lijken te denken dat zij ‘verwerker’ kunnen zijn, wat ik niet goed begrijp.

Accountants kennen uitgebreide regelgeving die minutieus regelt wat zij wel en niet mogen, zelfs als ze niet eens als accountant werken. Hun regels hebben uitstraling naar alle andere beroepsgroepen binnen hun accountantsorganisatie, zoals belastingadviseurs, salarismedewerkers en organisatieadviseurs. Verder vallen accountants en andere financials onder de Nederlandse antiwitwas-wetgeving, de Wwft. Deze beroepsbeoefenaren hebben een wettelijke taak en/of assisteren hun cliënten met de naleving van wettelijke verplichtingen. Dat betekent dat zij altijd het doel en de middelen van hun werkzaamheden bepalen en ten opzichte van hun cliënt nimmer de rol van ‘verwerker’ spelen. Die boodschap is echter niet tot hun beroepsorganisaties doorgedrongen.

NBA-toelichting
Op de site van de Nederlandse Beroepsorganisatie van Accountants (NBA) staat een toelichting op het begrip ‘verantwoordelijke’ en ‘verwerker’ waarin wordt gesuggereerd dat er situaties kunnen voorkomen waarin de cliënt aan de accountant instructies kan geven over de wijze waarop de werkzaamheden worden uitgevoerd. In zulke gevallen zou een accountant verwerker zijn. Dit lijkt op een misverstand van de auteurs te berusten. Er is een verschil tussen het definiëren van de inhoud van een opdracht en de wijze waarop en met welk doel de opdracht door de accountant wordt uitgevoerd. Overigens wordt door de NBA over het aansluiten van een verzamelloonstaat en het opnemen van een loonheffingsschuld gezegd dat de accountant daar verantwoordelijke is, terwijl ten aanzien van het voeren van de salarisadministratie wordt opgemerkt dat de accountant hier de instructie van de cliënt zou mogen opvolgen. Dat kan niet waar zijn. Het voeren van een salarisadministratie is niet anders dan het uitvoeren van samenstelwerkzaamheden, waarvan de NBA constateert dat de accountant daar ‘verantwoordelijke’ is.

Onbekendheid
Overigens is die salarisadministrateur een hardnekkig gebruikt voorbeeld van een ondernemingsactiviteit die per definitie ‘verwerking’ zou inhouden. Ik denk dat dit berust op onbekendheid met de activiteiten en verantwoordelijkheden van een salarisadministrateur, die onder meer verplichtingen op grond van de Wwft heeft. In hele oude parlementaire geschiedenis wordt het als voorbeeld genoemd, maar ik denk dat het niet (meer) klopt.

De Nederlandse Orde van Belastingadviseurs (NOB) lijkt in de handreiking die in januari 2018 is uitgebracht ook te denken dat de belastingadviseur in relatie tot cliënten verwerker kan zijn. Men lijkt te denken dat het voor verwerkerschap voldoende is dat de cliënt geen natuurlijke persoon is. De belastingadviseur speelt een centrale rol in de regelgeving ter bestrijding van belastingfraude en dient zich aan de Wwft te houden. Klakkeloos instructies van cliënten opvolgen is er niet bij. Ook die belastingadviseur is verantwoordelijke.

Nu het leven op dit punt eenvoudig is geworden kan iedereen met cybersecurity, dataminimalisatie en tijdig verwijderen aan de slag.

 

Aanvulling 8 mei 2018
Inmiddels heeft de NBA een reactie geplaatst onder mijn artikel op Accountancy Vanmorgen:

J.J. Boontjes, NBA
8 mei 2018 op 14:50

De NBA waardeert de moeite die mevrouw Timmer heeft genomen om na te denken over de toepassing van de AVG, maar is het niet eens met de inhoud van het artikel.
Daarom wijs ik graag op onderstaande link naar een reactie op de website van de NBA:
https://www.nba.nl/nieuws-en-agenda/nieuwsarchief/2018/mei/reactie-nba-op-berichtgeving-accountancy-vanmorgen-inzake-de-avg/.

Voor bestudering van het bericht op de NBA site had ik nog geen gelegenheid.

Geplaatst in Dienstverlening - juridisch financieel [advocaten, accountants, belastingadviseurs e.d.], ICT, privacy, e-commerce | Tags: , , | 2 reacties

“How to Wrestle Your Data From Data Brokers, Silicon Valley — and Cambridge Analytica”

Geplaatst op 2 mei 2018 door Ellen Timmer

In the article on Pro Publica by Jeremy B. Merrill, How to Wrestle Your Data From Data Brokers, Silicon Valley — and Cambridge Analytica, it is described how difficult it is to find out who has a person’s data. From the introduction:

One thing is certain: My personal data, and likely yours, is in more hands than ever. Tech firms, data brokers and political consultants build profiles of what they know — or think they can reasonably guess — about your purchasing habits, personality, hobbies and even what political issues you care about.
You can find out what those companies know about you but be prepared to be stubborn. Very stubborn. To demonstrate how this works, we’ve chosen a couple of representative companies from three major categories: data brokers, big tech firms and political data consultants.

Geplaatst in English - posts in English on this blog, ICT, privacy, e-commerce | Tags: , , , , , | Plaats een reactie

Europese plannen ondernemingsrecht ter bestrijding van belastingfraude en andere criminaliteit

Geplaatst op 1 mei 2018 door Ellen Timmer

In recent bekend gemaakte Europese plannen tot hervorming van het ondernemingsrecht spelen bestrijding van belastingfraude en andere criminaliteit een grote rol. Lees verder op het ondernemingsrecht weblog.

Geplaatst in Europa, Fraude, witwasbestrijding, Wwft, Rechtspersonenrecht | Plaats een reactie

Advocaat en AVG

Geplaatst op 26 april 2018 door Ellen Timmer

Gisteren woonde ik de bijeenkomst van de Nederlandse Orde van Advocaten (NOvA) over de AVG bij.

Enkele highlights:

  • De advocaat is (verwerkings)verantwoordelijke bij alle persoonsgegevens die hij verwerkt.
  • Ook de medisch deskundige die door de advocaat wordt ingeschakeld is verantwoordelijke, aangezien hij zijn eigen beroepsregels moet naleven en doel en middelen van de verwerking bepaalt.
  • Het vergeetrecht geldt niet voor advocatendossiers, aangezien er voor advocaten eigen bewaarregels gelden en er een gerechtvaardigd belang kan zijn vanwege aansprakelijkheidsrisico.
  • De praktijk van het digitaal verwerken van persoonsgegevens is dat er teveel wordt opgeslagen en dat alles te lang wordt bewaard. Digitale verwerking hoort daarom gepaard te gaan met dataminimalisatie en met het goed nadenken over ‘weggooien’. Ook advocaten moeten daar over nadenken, dat is één van de redenen voor het register van verwerkingen (‘accountability’) dat ook een advocatenkantoor moet hebben.
  • De NOvA meent dat de Autoriteit Persoonsgegevens niet in cliëntendossiers mag kijken. Daar denkt de vertegenwoordiger van de Autoriteit anders over.
  • De Autoriteit Persoonsgegevens zegt druk doende te zijn met voorlichting over de AVG. Dat heeft grote prioriteit. Degenen die ondanks die voorlichting – en zeker als zij een waarschuwing hebben gehad – de regelgeving negeren, kunnen sancties verwachten. Dat kan een boete zijn, maar ook een last onder dwangsom.
  • De NOvA komt met een aangepaste tekst van het kantoorhandboek. Door de zaal werd aangedrongen op meer ‘guidance’, daar gaat men over nadenken.
  • Advocaten moeten ook digitaal veilig en vertrouwelijk gaan communiceren. Dus het doorsturen van een dossier met persoonsgegevens kan niet per GMail of WeTransfer.
  • Lees niet de Nederlandstalige versie van de AVG, deze is verschrikkelijk vertaald (Zwenne).

Zie ook onderstaande twitterberichten van de NOvA:

 

Meer informatie:

  • Aankondiging van de AVG-bijeenkomst van de NOvA, video van de bijeenkomst
  • AVG pagina van de NOvA
  • Advocaten kunnen met hun leveranciers een verwerkersovereenkomst sluiten en gebruik maken van dit model.
Geplaatst in Dienstverlening - juridisch financieel [advocaten, accountants, belastingadviseurs e.d.], Grondrechten, ICT, privacy, e-commerce | Tags: , , , | Plaats een reactie

Referendumboosheid en de rechtsstaat

Geplaatst op 25 april 2018 door Ellen Timmer

Op 3 februari jl. verscheen een mooie column van Maxim Februari, Juristen en onderdanen móéten zich ergeren. Daarin herinnert hij er aan dat de overheid kritisch gevolgd moet worden. Hij besluit met:

„Een overheid is geen ‘partner’ maar potentieel steeds een tegenstander”, zegt jurist Kortmann. Zonder gerechtigheid een roversbende, zegt kerkvader Augustinus. Vandaar de noodzaak van het recht en van het ergerniswekkende, oeverloze gezeur van al die commentatoren, dat, als het goed is, alleen maar opbouwend werkt.

Geplaatst in Grondrechten | Tags: , , , | Plaats een reactie

Gemiddeldlevenden stellen de norm

Geplaatst op 24 april 2018 door Ellen Timmer

De colums van Maxim Februari zijn zeer lezenswaardig, ook deze: “Ontoegankelijk bolwerk van leuke, flexibele mensen“, van 10 april jl. Hij bespreekt werkloze laaggeletterden, briljante werklozen met autisme en disfunctionerende hoogbegaafden en vraagt zich af waar het met de wereld naar toe moet.

De norm wordt gesteld door wat Februari de ‘gemiddeldlevenden’ noemt. Nu maar hopen dat dit geen ‘dumbing down’ betekent.

Geplaatst in ICT, privacy, e-commerce | Tags: , | 2 reacties