Veilige e-mail binnen de overheid | nu nog veilige e-mail voor de burger!

Geplaatst op 22 maart 2018 door Ellen Timmer

E-mail is buitengewoon onveilig, al weet niemand het. De overheid weet het wel, zo blijkt uit een bericht van Logius over het zgn. ‘Diginetwerk’.

Logius schrijft:

Eerste succesvolle aansluitingen op Diginetwerk Mail een feit
19-03-2018 | Diginetwerk

De Rijksdienst voor Identiteitsgegevens en de gemeentelijke samenwerkingsverbanden Equalit en GR de Bevelanden zijn als eerste gestart met het gebruik van Diginetwerk. De ervaringen zijn positief en Logius werkt samen met andere partijen zoals VNG en verschillende gemeenten om Diginetwerk Mail breed te gaan implementeren. Lees de eerste ervaringen van Diginetwerk Mail.
Diginetwerk Mail is een overheidsbrede oplossing waarmee overheden veiliger met elkaar kunnen e-mailen. Het mailverkeer gaat over een besloten netwerk in plaats van het open internet, waardoor wordt voorkomen dat gevoelige informatie in verkeerde handen valt.

Wanneer komt diezelfde voorziening voor e-mail communicatie door burgers met de overheid en voor burgers onderling?

Meer informatie:

Aanvulling 12 april 2018
Logius maakte op 4 april bekend dat het jaarverslag 2017 is gepubliceerd. ‘Jaarverslag’ is een wat wijdse term voor het plaatjesboek op deze locatie. Na enig zoeken blijkt er ook een pdf van het plaatjesboek te zijn. Dat biedt voor types zoals ik de mogelijkheid om de vele vragen die de plaatjes oproepen er bij te schrijven.

Aanvulling 23 september 2019
Zie voor informatie over veilige digitale communicatie deze pagina.

Geplaatst in ICT, privacy, e-commerce | Tags: , , , | Plaats een reactie

Update “Sleepwet: voor of tegen de nieuwe Wiv”

Geplaatst op 20 maart 2018 door Ellen Timmer

Mijn eerdere sleepwet bericht met vindplaatsen heb ik gisteren en vandaag verder aangevuld.

De keuze gaat tussen:

  • voor want het is een verbetering ten opzichte van de huidige regels, we kunnen onze overheid toch vertrouwen, bij ons komt toch geen enge dictator aan de macht en criminelen moeten de weg af worden gesneden; of
  • tegen want na alle cybersecurity- en privacyschandalen bij de overheid wordt het tijd om het toezicht op deze ingrijpende bevoegdheden goed te regelen.

Volgens een peiling ziet het er naar uit dat de voorstemmers in de meerderheid zijn.

Aanvulling 22 maart 2018
Volgens de laatste berichten lijken er meer tegen- dan voorstemmers te zijn geweest, zie onder meer security.nl. De definitieve uitslag wordt 29 maart a.s. bekend.

Een greep uit de tweets:

De AIVD, vóór het referendum:

 

Aanvulling 19 april 2018
Pas onlangs zag ik het mooie artikel van Maxim Februari: “Ik ga nee zeggen. Maak maar een nieuwe wet“. Met onder meer:

Onderzoeksopdrachtgerichte interceptie. U denkt misschien dat zoiets geen leuk onderwerp is, maar tegen alle verwachtingen in is het dat wel. De onderzoeksopdrachtgerichte interceptie is geregeld in de Wet op de inlichtingen- en veiligheidsdiensten 2017, en hoe saai dat op zich ook mag klinken, zodra autoriteiten het erover gaan hebben, beginnen ze te fabuleren en te fabriceren, te fingeren en te fantaseren. Heel spannend allemaal.

Geplaatst in Grondrechten, ICT, privacy, e-commerce, Strafrecht | Tags: , , , | Plaats een reactie

Energielabel-illusies | “Wonen in een slecht geïsoleerd huis maakt zuinig”

Geplaatst op 20 maart 2018 door Ellen Timmer

Degene die zich afvraagt waar de Europese en Nederlandse energielabels goed voor zijn, leze het artikel “Wonen in een slecht geïsoleerd huis maakt zuinig” door Kris De Decker, in de laatste aflevering van Down to Earth.

Daarin bespreekt hij dat de Europese energiebesparingsregels niet werken bij consumenten, omdat mensen die in een slecht geïsoleerd huis wonen zuiniger omgaan met energie. Hij vindt dat zij ten onrechte gedwongen worden tot onrendabele en onduurzame investeringen.

Cijfers volgens De Decker:
# in de meest inefficiënte woningen ligt het werkelijke verbruik 60 procent lager dan het voorspelde verbruik;
# bij de meest efficiënte woningen ligt het werkelijke energieverbruik ongeveer 30 hoger dan de voorspelling.

Over de energielabel-illusie-politiek werd eerder goed geschreven door Dr. Doom in HPDe Tijd.

Wanneer gaan de mensen aan de overheids-tekentafels in Europa en Nederland zich nu eens serieus verdiepen in het onderwerp van hun tekeningen?

NB Op internet kon ik het artikel van De Decker (nog) niet vinden.

Meer informatie:

Geplaatst in Bestuursrecht | Tags: , , , | Plaats een reactie

Wet toezicht trustkantoren 2018 ingediend

Geplaatst op 19 maart 2018 door Ellen Timmer

Op 16 maart jl. is het voorstel voor de Wet toezicht trustkantoren 2018 bij de tweede kamer ingediend:

Aanvulling 20 maart 2018
Over het wetsvoorstel zijn de volgende artikelen verschenen:

Het enige eigen geluid rondom dit onderwerp komt van de Raad van State, samenvatting, advies.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Trustkantoren | Tags: | Plaats een reactie

Iedere Wwft-plichtige een compliance officer en auditor? | AMLD4, Wwft

Geplaatst op 17 maart 2018 door Ellen Timmer

Onlangs is het eerste wetsvoorstel tot wijziging van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) door de tweede kamer aangenomen.
Één van de veranderingen is dat bepaalde Wwft-plichtige ondernemingen een compliance officer en soms ook een auditor nodig hebben. Echter, dat geldt niet voor alle Wwft-plichtigen (en dat zijn er vele!). In het door de tweede kamer aangenomen artikel 2d Wwft staat:

Artikel 2d
1. Indien het dagelijks beleid van een instelling wordt bepaald door twee of meer personen, wijst een instelling één van de personen die het dagelijks beleid van de instelling bepalen aan die is belast met de verantwoordelijkheid voor de naleving door de instelling van het bij of krachtens deze wet bepaalde.
2. Voor zover passend bij de aard en omvang van de instelling, beschikt een instelling over een onafhankelijke en effectieve compliancefunctie.
3. De compliancefunctie is gericht op het controleren van de naleving van wettelijke regels en interne regels die de instelling zelf heeft opgesteld en omvat onder meer de taak die strekt tot het verstrekken van de gegevens, bedoeld in artikel 16, aan de Financiële inlichtingen eenheid.
4. Indien van toepassing en voor zover passend bij de aard en de omvang van de instelling, draagt een instelling er zorg voor dat op onafhankelijke wijze een auditfunctie wordt uitgeoefend ten aanzien van haar werkzaamheden. De auditfunctie controleert de naleving door een instelling van de bij of krachtens deze wet gestelde regels en de uitoefening van de compliancefunctie.

Hier volgt uit dat Wwft-plichtige ondernemingen geen “onafhankelijke en effectieve compliancefunctie” hoeven in te stellen als dat niet passend is bij aard en omvang van die onderneming (lid 2). Een gelijksoortige eis geldt voor de auditfunctie (lid 4).

In de memorie van toelichting werd over dit artikel onder meer het volgende gezegd:

§ 5.1.3. Risicomanagement

Voor banken en andere financiële ondernemingen bestaan ingevolge de Wft reeds verplichtingen tot het opstellen van een risicobeoordeling en het vaststellen van daarop gebaseerde gedragslijnen, procedures en maatregelen, ook voor zover het risico’s op witwassen en terrorismefinanciering betreft. Soortgelijke verplichtingen gelden daarnaast voor trustkantoren en accountants. De met het onderhavige wetsvoorstel geïntroduceerde verplichtingen inzake risicomanagement zullen voor deze instellingen derhalve naar verwachting slechts leiden tot een zeer geringe toename van de administratieve lasten en nalevingskosten. Voor andere instellingen, waaronder in ieder geval de nieuwe categorieën instellingen zoals de aanbieders van kansspelen, is dit een nieuwe verplichting en derhalve een lastenverzwaring.
Het opstellen van een risicobeoordeling en het ontwikkelen van nieuw beleid, procedures en maatregelen vergt in de eerste plaats eenmalige werkzaamheden van een instelling. De hiertoe benodigde werkzaamheden zullen, indien een instelling daarover beschikt, doorgaans worden verricht door de compliancefunctie. De maatregelen die een instelling neemt om een risicobeoordeling op te stellen dienen te worden afgestemd op de aard en omvang van de instelling. Omdat de reikwijdte van de Wwft zich uitstrekt over een breed scala aan instellingen, waaronder ook instellingen die met het oog op hun aard en omvang niet over een compliancefunctie zullen beschikken, zullen de kosten die gepaard gaan bij het opstellen van een risicobeoordeling en beleid, procedures en maatregelen sterk verschillen. (…)

Voor een groot deel van de instellingen zal het inrichten van een compliance- en/of auditfunctie bovendien niet mogelijk of niet evenredig zijn aan de aard en omvang van de instelling: dit geldt in het bijzonder voor natuurlijke personen en eenmanszaken. (…)

Artikel 1f tot en met 2d – risicomanagement
(…) Rechtspersonen of vennootschappen die als instelling in de zin van de Wwft kwalificeren, dienen op grond van artikel 2d een van de personen die het dagelijks beleid van de instelling bepalen aan te wijzen als verantwoordelijk voor de naleving door de instelling van het bij of krachtens de Wwft bepaalde. Door middel van een verwijzing naar instellingen waar het dagelijks beleid wordt bepaald door twee of meer personen, is in het artikel duidelijk gemaakt dat deze verplichting niet geldt voor natuurlijke personen, die naar hun aard niet aan deze bepaling kunnen voldoen.
Op grond van het tweede lid van artikel 2d worden instellingen voorts verplicht om, voor zover dit passend is ten opzichte van de aard en de omvang van de instelling, te voorzien in de invulling van een compliancefunctie. Ook hier geldt dat een natuurlijk persoon, handelend in het kader van zijn beroepsactiviteiten, naar zijn aard niet kan voorzien in een onafhankelijke compliancefunctie. In een dergelijk geval is de verplichting van artikel 2d, tweede lid, niet van toepassing. Daarnaast kan het voor een instelling van beperkte omvang onevenredig en daarmee niet passend zijn om een afzonderlijke compliancefunctie in te richten. De omvang van de instelling, alsmede het type instelling, speelt derhalve een belangrijke rol bij de naleving van deze verplichting.
Ook de wijze waarop de compliancefunctie wordt ingericht, kan op de aard en omvang van de instelling worden afgestemd. De compliancefunctie dient op onafhankelijke en effectieve wijze te worden uitgevoerd. In beginsel betekent dit dat de personen die betrokken zijn bij de uitoefening van de compliancefunctie, niet tevens betrokken zijn bij de activiteiten waarop zij toezicht houden. Echter, bij kleinere instellingen kan het onevenredig zijn om de onafhankelijkheid van de compliancefunctie op deze wijze vorm te geven. Ook is het mogelijk dat een instelling ervoor kiest de compliancefunctie (geheel of gedeeltelijk) uit te besteden.
De uitoefening van de compliancefunctie is gericht op de controle van de naleving van de wettelijke regels en de regels die door een instelling zelf zijn ingesteld. Dit houdt onder meer in dat erop wordt toegezien dat procedures, bijvoorbeeld voor het verrichten van cliëntenonderzoek, in overeenstemming zijn met geldende regelgeving. Indien daarbij onvolkomenheden worden aangetroffen, dient de instelling maatregelen te nemen om deze onvolkomenheden effectief te adresseren. Uit artikel 33, tweede lid, van de vierde anti-witwasrichtlijn volgt voorts dat het melden van ongebruikelijke transacties en het verstrekken van de benodigde informatie aan de FIU gebeurt door de persoon die belast is met de compliancefunctie. In het derde lid van artikel 2d wordt hierbij aangesloten. Dit neemt overigens niet weg dat het aanmerken van een transactie als ongebruikelijk, doorgaans de verantwoordelijkheid van de eerstelijns functie (de medewerkers verantwoordelijk voor de uitvoering van de dienstverlening van de instelling) is.
Met het vierde lid van artikel 2d wordt de verplichting voor instellingen geïntroduceerd om, indien dit passend is ten opzichte van de aard en omvang van haar onderneming, te voorzien in een onafhankelijke auditfunctie. Hiermee wordt artikel 8, vierde lid, onderdeel b, van de vierde anti-witwasrichtlijn geïmplementeerd. De verplichting om een auditfunctie in te stellen geldt, zoals ook bij de compliancefunctie het geval is, naar haar aard alleen voor rechtspersonen en vennootschappen die als instelling kwalificeren.
Voor de toepassing van deze wet dient de auditfunctie de naleving van het bij of krachtens de Wwft bepaalde door de instelling, alsmede de uitoefening van de compliancefunctie, op onafhankelijke wijze te controleren. Dat geldt in het bijzonder voor het controleren van de werking van de gedragslijnen, procedures en maatregelen om geïdentificeerde risico’s te beheersen. Indien de auditfunctie hierbij gebreken constateert, ligt het in de rede dat deze gemeld worden en dat de personen die het dagelijks beleid van de instelling bepalen, ervoor zorg dragen dat de noodzakelijke wijzigingen worden doorgevoerd in de gedragslijnen, procedures en maatregelen. De intensiteit van de invulling van de auditfunctie dient te worden afgestemd op het risicoprofiel van de instelling. Zoals hiervoor reeds is toegelicht ten aanzien van de compliancefunctie, geldt ook voor de invulling die wordt gegeven aan de mate van onafhankelijkheid van de auditfunctie dat dit afhankelijk is van de aard en omvang van de instelling.

Uiteraard zal het voorstel nog door de eerste kamer moeten worden behandeld.

Meer informatie:

Een variant van dit artikel verscheen op de site van het Compliance Platform Truskantoren.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft | Tags: , , | Plaats een reactie

Sleepwet: voor of tegen de nieuwe Wiv

Geplaatst op 16 maart 2018 door Ellen Timmer

Degene die interesse heeft voor de sleepwet, de “Wet op de Inlichtingen en Veiligheidsdiensten” (Wiv), heeft het nodige om te lezen. In mijn bericht uit juli 2017, “De surveillance maatschappij komt er aan“, heb ik al de nodige informatiebronnen genoemd, met name tegenstanders.

De voorstanders van de wet zijn druk campagne aan het voeren met als belangrijke partijen de AIVD en Paul Abels.

Waar gaat het over
Let op: het gaat niet over de vraag of de geheime diensten mogen afluisteren. Met het afluisteren is op zich niets aan de hand (als het gericht en goed gebeurt).
Waar wel wat mee aan de hand is: zijn deze vergaande bevoegdheden wel goed geregeld. De tegenstanders zijn van mening dat dit niet het geval is.

Leesvoer
Hierna een greep uit het leesvoer met zowel voor- als tegenstanders:

NB Een aantal artikelen kunnen achter betaalmuren zitten.

Aanvulling 19 maart 2018
Ook interessant:

In Duitsland wordt geschreven dat de opsporingsdiensten slordig met cybersecurity omgaan, zie bijvoorbeeld dit bericht (16 maart jl.) met de titel “Behörden fragen Überwachung meist unverschlüsselt an“, waarin onder meer:

Heinlein kritisierte, dass die meisten Behördenanfragen mit sehr privaten und schützenswerten Daten nach wie vor unverschlüsselt eingingen. (…) In den unverschlüsselt gesendeten Anfragen befinden sich nach Angaben des Unternehmens häufig auch Informationen über den Nutzern vorgeworfene Straftaten oder Ermittlungsverfahren.

Aanvulling 20 maart 2018
Nog steeds wordt er veel over het onderwerp geschreven. Heel interessant. (Wel jammer dat de regering zich niets van een voor hen negatieve referendumuitslag en van alle gratis adviezen gaat aantrekken.)

  • Publiek Denken maakte een pagina over de sleepwet, er worden overzichtspagina’s van AD en Volkskrant genoemd.
  • Privacy voorvechter Dimitri Tokmetzis van De Correspondent schrijft vandaag dat hij nog twijfelt en verwijst naar zijn eerdere artikel over de sleepwet en naar een artikel waaraan Matthijs Koot heeft meegewerkt. Hij zegt: “Morgen is het referendum over de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv). Op het moment dat ik dit schrijf, weet ik ook nog niet wat ik ga stemmen. Ik zie de nodige problemen met deze wet, maar een nieuwe wet is ook noodzakelijk, en de nieuwe Wiv is in veel opzichten een verbetering van de oude wet. Ik ga dan ook geen stemadvies geven.
  • Lees verder het artikel “Specifieke onderdelen Wiv nog onbekend“, waarin verslag wordt gedaan van een onderzoek onder kiezers met als uitkomst onder meer dat velen niet goed van de details van de sleepnet op de hoogte zijn, Privacyweb 19 maart 2018
  • Mooie titel van een opinie van Mark Vletter, “Het referendum over de sleepwet gaat over blind vertrouwen“, RTLZ. Vletter is tegen, “Dan is de vraag wat gevaarlijker is: een Wiv die zich leent voor het misbruiken van de vele data die er mee verzameld worden of geen nieuwe Wiv. Het is dus geen kwestie van voor of tegen veiligheid, het is een kwestie van voor of tegen een blind vertrouwen in de overheid.
  • Er was nog iemand die attendeerde op de Europese PACE aanbeveling uit 2015 over ‘mass surveillance’, met Pieter Omtzigt als rapporteur, waarin onder meer: “The Parliamentary Assembly refers to its Resolution 2045 (2015) on mass surveillance and invites the Committee of Ministers to make use of the tools at its disposal to uphold the fundamental right to privacy in all member and observer States of the Council of Europe“.
Geplaatst in Grondrechten, ICT, privacy, e-commerce, Strafrecht | Tags: , , , , , , , , , , , | Plaats een reactie

Rectificatie inzake bericht over website BFT

Geplaatst op 16 maart 2018 door Ellen Timmer

Op 23 februari jl. schreef ik over de website van het Bureau Financieel Toezicht en schreef ik onder meer dat ik een certificaatfout kreeg:

Overigens krijg ik een veiligheidswaarschuwing voor de site, mogelijk klopt het certificaat niet:

 

Inmiddels is mij gebleken dat de site van BFT een goed certificaat heeft en dat er een probleem is met het certificaatbeheer op mijn pc. Als gevolg daarvan wordt een verouderd certificaat aan de BFT-site gekoppeld.

Geplaatst in Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce | Tags: | Plaats een reactie

Hoe bedrijfsgeheimen geheim blijven | Wet bescherming bedrijfsgeheimen

Geplaatst op 15 maart 2018 door Ellen Timmer

In deze digitale tijd is het steeds lastiger om vertrouwelijke gegevens vertrouwelijk te houden. Dat geldt niet alleen voor persoonsgegevens (die verduisterd, gestolen en verhandeld worden), maar ook voor allerlei andere gegevens, bijvoorbeeld voor bedrijfsgeheimen, waarvoor zeer grote belangstelling bestaat, niet alleen van de kant van criminele groepen. Een ondernemer beschikt over vertrouwelijke bedrijfsinformatie van verschillende aard. Hierbij kan worden gedacht aan interne bedrijfsprocessen, uitvindingen en commerciële informatie. Er kunnen verschillende maatregelen worden genomen om die gegevens geheim en exclusief te houden.

Maatregelen
Het begint met organisatorische en technische maatregelen, zoals toegang voor medewerkers en zakenrelaties op need-to-know basis, afscherming van de gegevens voor zover deze bij klanten of het publiek terecht komen en cybersecurity maatregelen (inclusief zorgvuldige selectie en screening van IT-leveranciers).

Het is aan te bevelen extra juridische maatregelen te nemen, waarbij onder meer kan worden gedacht aan een contractueel geheimhoudingsbeding in de arbeidsovereenkomsten. Als wordt onderhandeld met een zakenrelatie, denk dan aan goede contractuele afspraken over vertrouwelijkheid, inclusief afspraken inzake het apart bewaren en vernietigen van documenten. Soms zijn dergelijke afspraken tijdens de zakenrelatie eveneens aan te bevelen.

Gesteld dat de bedrijfsgeheimen voor bescherming door een intellectueel eigendomsrecht in aanmerking komen (zoals een octrooi), dan biedt dat het voordeel dat de vertrouwelijke gegevens niet zo makkelijk door anderen kunnen worden gebruikt. Niet alle knowhow komt echter voor dergelijke bescherming in aanmerking.

Tot slot kan het verwerven of gebruiken van bedrijfsgeheimen een ‘onrechtmatige daad’ zijn en kan op die basis tegen overtreders worden opgetreden.

Wet bescherming bedrijfsgeheimen
Binnenkort komt er nieuw instrumentarium bij, aangezien bij de Tweede Kamer een wetsvoorstel aanhangig is voor een Wet bescherming bedrijfsgeheimen. Aanleiding voor het voorstel is een Europese richtlijn. Doel van het voorstel is om de positie van ondernemingen te versterken als een bedrijfsgeheim zonder toestemming is verkregen.
Zo’n verkrijging van een bedrijfsgeheim is onrechtmatig wanneer het bedrijfsgeheim is verkregen door middel van onbevoegde toegang tot of het zich onbevoegd toe-eigenen of kopiëren van documenten, voorwerpen, substanties, materialen of elektronische bestanden waarover de houder van het bedrijfsgeheim rechtmatig beschikt en die het bedrijfsgeheim bevatten of waaruit het bedrijfsgeheim kan worden afgeleid. Onrechtmatige verkrijging kan ook aan de orde zijn bij andere gedragingen die gezien de omstandigheden worden beschouwd als strijdig met eerlijke handelspraktijken.

Inbreukmakende goederen
Ook producten kunnen onrechtmatig zijn. In het wetsvoorstel worden dergelijke producten als ‘inbreukmakende goederen’ aangeduid. Dat zijn goederen waarvan het ontwerp, de kenmerken, de werking, het productieproces of het in de handel brengen aanzienlijk voordeel heeft of hebben bij bedrijfsgeheimen die onrechtmatig zijn verkregen, gebruikt of openbaar gemaakt.
Het produceren, aanbieden of in de handel brengen van inbreukmakende goederen of de invoer, uitvoer of opslag van inbreukmakende goederen voor die doeleinden, wordt als een onrechtmatig gebruik van een bedrijfsgeheim beschouwd wanneer degene die dergelijke activiteiten uitvoert, wist of had moeten weten dat het bedrijfsgeheim onrechtmatig werd gebruikt.

Voorzieningen door de rechter
Als inbreuk wordt gemaakt op een bedrijfsgeheim, kan de benadeelde in kort geding voorzieningen vorderen. Onder meer kan een verbod op het gebruik van het bedrijfsgeheim worden gevorderd en kan verlof worden gevraagd om beslag te leggen op de inbreukmakende goederen. Verder is het mogelijk om schadevergoeding te vorderen en kan de rechter die vergoeding zo nodig forfaitair vaststellen.
In de wet worden speciale bepalingen opgenomen, die er voor moeten zorgen dat de bedrijfsgeheimen niet via de gerechtelijke procedure openbaar worden. In het voorstel is een bepaling opgenomen inhoudende dat als de rechter gegevens als vertrouwelijk heeft aangemerkt, het partijen, hun advocaten of andere vertegenwoordigers, getuigen, deskundigen en andere personen die deelnemen aan gerechtelijke procedures, verboden is de gegevens te gebruiken of openbaar te maken.

Tips
• Breng in kaart wat de bedrijfsgeheimen zijn en of beschermingsmaatregelen gewenst zijn.
• Neem organisatorische en technische maatregelen.
• Zorg voor goede geheimhoudingsbepalingen in juridische documenten.
• Denk aan de bescherming van intellectuele eigendom.
• Er kan tegen overtreders worden opgetreden, straks wordt dat makkelijker op grond van de Wet bescherming bedrijfsgeheimen

 

Aanvulling 4 mei 2018
Zie over de nieuwe wet ook het artikel van Vrendenbarg en de reactie van Veldman.

Geplaatst in Contractenrecht, privaatrecht algemeen, Handelsrecht | Tags: , | Plaats een reactie

New EU tax reporting rules for Dutch trust offices

Geplaatst op 15 maart 2018 door Ellen Timmer

On 13 March the Council of the EU announced that agreement has been reached on tax intermediaries.
According to the announcement the draft directive will require intermediaries to report schemes that are considered potentially aggressive. Interestingly the draft defines a broad concept of intermediaries:

“intermediary” means any person that designs, markets, organises or makes available for implementation or manages the implementation of a reportable cross-border arrangement

Dutch trust offices (‘trustkantoren’) are included in this definition and will have reporting obligations under the proposed directive.

Geplaatst in Belastingrecht, English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Trustkantoren | Tags: | Plaats een reactie

Privacy verplichtingen uitzendbureau bij cao-controle

Geplaatst op 14 maart 2018 door Ellen Timmer

Niet iedere organisatie heeft in dezelfde mate te maken met privacy. Aangezien de meeste organisaties werknemers hebben, is naleving van de privacyregelgeving met betrekking tot het personeel altijd aan de orde.

Deze problematiek kwam aan de orde in de uitspraak van de Rechtbank Rotterdam van 5 maart 2018. Daarin procedeerde een uitzendbureau tegen Stichting Naleving CAO voor Uitzendkrachten (SNCU). SNCU onderzoekt of uitzendbureaus  algemeen verbindend verklaarde cao-bepalingen correct naleven. Het uitzendbureau verzocht de rechter te bepalen dat bepaalde door SNCU opgevraagde gegevens niets zouden hoeven worden verstrekt, onder meer met beroep op de privacy.

Daar gaat de rechter niet in mee, zie onderstaande passage, ‘[eiser]’ is het uitzendbureau:

4.21. [eiser] betoogt dat de persoonsgegevens van het personeel dat hij uitleent vertrouwelijk zijn en dat deze vertrouwelijkheid zich verzet tegen kennisneming van deze gegevens door SNCU. Volgens [eiser] verbiedt dit personeel verstrekking van deze gegevens aan SNCU. De voorzieningenrechter volgt dit betoog niet. De voorzieningenrechter sluit zich daartoe aan bij het oordeel van Gerechtshof ‘s-Hertogenbosch 29 mei 2012 ECLI:NL:GHSHE:2012:BW7262. Daarin is onder meer geoordeeld:
“Naar het oordeel van het hof bevat het Reglement II, dat de werkwijze betreft van de CNCU (zie rechtsoverweging 4.1.2), een aantal bepalingen waardoor de privacy van werknemers is gewaarborgd. Het hof verwijst, wat betreft de relevante CAO Sociaal Fonds voor de Uitzendbranche 2007-2009, naar de artikelen 2, 5 lid 11 en 8 van het Reglement II (artikelen 2, 5 lid 12 en 8 van het Reglement II, opgenomen in de CAO Sociaal Fonds voor de Uitzendbranche 2009-2011). Op grond van genoemde bepalingen onthoudt de SNCU zich met name van het opvragen van gegevens die niet betrekking hebben op de statutaire taken van de SNCU (artikel 2), worden de voor het toezien op de naleving van de CAO voor Uitzendkrachten en de CAO Sociaal Fonds voor de Uitzendbranche ontvangen bescheiden binnen acht weken na afronding van het onderzoek retour gezonden (artikel 5 lid 11) en is de CNCU verplicht tot geheimhouding ten aanzien van in dossiers opgeslagen gegevens betreffende uitzendondernemingen (artikel 8). Daarbij tekent het hof aan dat de CNCU, zoals volgt uit de statuten van de SNCU, een commissie is binnen de SNCU. Voorts overweegt het hof dat ook de Wet Bescherming Persoonsgegevens, indien sprake is van persoonsgegevens in de zin van artikel 1 van die wet, waarborgen biedt ter bescherming van de privacy van werknemers. Ten slotte acht het hof van belang dat Daxxa geen concrete schendingen van de privacy van werknemers heeft aangevoerd. Uit het voorgaande volgt dat Daxxa haar grief onvoldoende heeft onderbouwd. De tweede grief faalt dan ook.”

4.22. Voorts is van belang dat de Wet Bescherming Persoonsgegevens in artikel 8 onder meer bepaalt dat persoonsgegevens mogen worden verwerkt indien:
– de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is: ook een cao is een overeenkomst, die door algemeen verbindendverklaring ook voor [eiser] geldt,
– de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is: een algemeen verbindend verklaarde cao bevat wettelijke verplichtingen,
– de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

SNCU heeft een gerechtvaardigd belang om toe te zien op naleving van algemeen verbindend verklaarde cao’s, waarvoor het belang van [eiser] dient te wijken.
In het midden kan blijven of het personeel dat [eiser] uitzendt daadwerkelijk niet instemt met verstrekking van zijn persoonsgegevens aan SNCU, bezien in het licht dat uit controle door SNCU kan blijken dat de rechten van dit personeel ruimer zijn dan [eiser] tot op heden heeft erkend.

Ook een stichting als SNCU kan beroep doen op ‘gerechtvaardigd belang‘ als grondslag voor verwerking van de persoonsgegevens van de werknemers van de gecontroleerde uitzendbureaus.

Geplaatst in Arbeidsrecht, ICT, privacy, e-commerce | Tags: | Plaats een reactie