Digitale slavernij – deel 2

Geplaatst op 11 november 2017 door Ellen Timmer

Maxim Februari schrijft regelmatig over de digitale slavernij die er aan komt, zoals in het artikel “De overheid ziet u en vult straks uw stembiljet in”. Onlangs is een boek van hem uitgekomen met de vreemde titel ‘klont‘. Volgens de boekbespreking staat dat woord voor een digitaal tumorgezwel dat de mensheid bedreigt.

Intussen is de wereld nog steeds vol van techgelovigen die denken dat de hemel is aangebroken als alles gedigitaliseerd is. Daar worden vele mooie artikelen over geschreven.

Volgens Naughton moeten we als Luther een plakkaat spijkeren op de zware houten deur van de techkerk. Lewis laat weten dat in silicon valley de kenners voorzichtig zijn geworden met de techspeeltjes. En zo is er veel meer. Maar of er een serieuze tegenbeweging komt, is de vraag.

Meer informatie:

Geplaatst in ICT, privacy, e-commerce | Tags: , , | Plaats een reactie

PSD2: afscherming van gegevens van derden?

Geplaatst op 10 november 2017 door Ellen Timmer

Bij de internetconsultatie over het implementatiebesluit PSD2 heb ik aandacht gevraagd voor de gegevens van derden die in de bankgegevens zijn opgenomen van degene die toestemming geeft. Dat dit een serieus punt is, waar financiële instellingen aandacht aan moeten geven, is inmiddels verder doorgedrongen.

Simon Hania schrijft in een artikel voor Netkwesties onder de titel “Data-overdracht wordt veel te gemakkelijk doorgevoerd. Bankgegevens niet veilig na invoering PSD2” dat onvoldoende is nagedacht over de privacy van derden. Hij schrijft onder meer:

Toch zie ik nog twee problemen met PSD2:

[1] Het kan je overkomen dat jouw gegevens bij een voor jou onbekend bedrijf terechtkomen.
[2] Het toezicht is gefragmenteerd en onvoldoende slagvaardig op pad gestuurd.

Datazeggenschap ontnomen

Bedenk dat er, net als wanneer je iemand belt, bij een banktransactie altijd twee partijen betrokken zijn. De ene kant maakt geld over naar de andere. Als een van beide partijen ervoor kiest om het toe te staan dat zijn gegevens naar een nieuwe innovatieve dienstverlener gaat, gaan de gegevens van de andere partij ook mee.
De bank mag dat niet tegenhouden volgens PSD2. Het kan echter heel goed zijn dat die andere partij in de transactie helemaal niet wil dat zijn gegevens bij die andere dienstverlener terechtkomen. Hij wordt ook niet geïnformeerd. Bedenk dat betalingen best gevoelig kunnen zijn en zaken kunnen onthullen die je liever in beperkte kring houdt. Dubbel fout dus, dit: je weet het niet en kunt er niks tegen doen.

Het lijkt me simpel: banken zullen de gegevens van derden moeten afschermen, tenzij er toestemming is gegeven. Dit is in overeenstemming met de (huidige) Wet bescherming persoonsgegevens en de (toekomstige) Algemene Verordening Gegevensbescherming.

PSD2 op Twitter

Simon Hania:

En zie ook:

ABN Amro heeft nog op zijn website staan dat ze persoonsgegevens van derden zonder toestemming zullen delen, maar ze denken er over na:

Aanvulling 5 december 2017

Hania is nog steeds met het onderwerp bezig.

Volgens Peter Verhaar is de positie van de wederpartij van degene die een rekeninginformatiedienstverlener inhuurt bewust niet aan de orde gekomen.

Wordt vervolgd!

Aanvulling 6 december 2017
Ik heb een conceptbrief bedacht. Kijken wat Simon er van vindt.

Aanvullng 8 december 2017
In het FD verscheen het artikel ‘Natuurlijk gaat Facebook zich tussen de banken nestelen’. Het artikel begint sappig met “Fintech is een markt van veel geschreeuw en weinig wol”.
Wat in de marketingwereld al is gebeurd, kan ook in de banksector gaan gebeuren.

Aanvulling 22 december 2017
[1] DNB laat in een nieuwsbericht weten dat op 8 februari 2018 een seminar over PSD2 wordt gehouden met als onderwerpen het vergunningsverleningsproces en het toezicht. Verder laat de Bank weten dat een PSD2-vergunning nog niet kan worden aangevraagd vanwege de vertraging in de wetgeving. Wel zal DNB alvast een inkijkexemplaar van het vergunningsformulier met toelichting aanbieden, zodat belangstellenden een beeld van de eisen voor een vergunningverlening kunnen krijgen en zich kunnen voorbereiden. Voorts wordt melding gemaakt van de Guidelines en Regulatory Technical Standards (RTS), waaraan door de European Banking Authority (EBA) wordt gewerkt, zoals de RTS over Strong Customer Authentication en de RTS Home-Host cooperation under PSD2. De voortgang en status van de Guidelines en RTS’en heeft DNB hier geplaatst.
Uit het bericht en de genoemde pagina blijkt niet op welke wijze rekening gehouden wordt met derdeninformatie in het kader van rekeninginformatiediensten en hoe vergunninghouders aan de eisen van de Algemene Verordening Gegevensbescherming zullen gaan voldoen.

[2] De EBA plaatste op 19 december jl. een bericht over de overgang naar PSD2, “EBA publishes Opinion on the transition from PSD1 to PSD2“. De genoemde opinie is hier te vinden. De overige berichten van EBA voor betaaldienstverleners zijn hier te vinden.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , | 1 reactie

Nieuwe inkomstenbron postbezorgingsbedrijven

Geplaatst op 9 november 2017 door Ellen Timmer

Uit een bericht op amweb blijkt dat PostNL een nieuwe inkomstenbron heeft aangeboord: postbodes doen onderzoek ten behoeve van opdrachtgevers. Bijvoorbeeld een verzekeraar die wil weten of gebouwen een rieten dak hebben of niet.
Dit biedt ongekende mogelijkheden. Hoewel… misschien zijn drones wel veel goedkoper.

Misschien kunnen de postbodes de overheid helpen om fouten in de basisregistratie personen te ontdekken, zie het security.nl bericht over de huisbezoeken die men wil gaan afleggen.

Juridisch levert dit vele vragen op, zoals bijvoorbeeld of er grondrechten worden geschonden. Wie gaat hier mee aan de slag?

Meer informatie:

Geplaatst in Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , | Plaats een reactie

Digitale slavernij

Geplaatst op 8 november 2017 door Ellen Timmer

Voor Advocatie schreef Georg van Daal een artikel over de digitale slavernij,  in zijn column: Digitalisering? We zijn terug in de middeleeuwen!

Het thema krijgt kleur in een mooi artikel van Kashmir Hill over de Facebook praktijken, “How Facebook Figures Out Everyone You’ve Ever Met“. Facebook haalt adresboeken en allerlei andere contactgegevens van mensen met wie Facebook-gebruikers contact onderhouden binnen. Als gevolg daarvan beschikt Facebook over informatie over de hele wereldbevolking, inclusief de onderlinge relaties. Dat is een goede basis voor beïnvloeding en beheersing.

Behind the Facebook profile you’ve built for yourself is another one, a shadow profile, built from the inboxes and smartphones of other Facebook users. (…)

“Mobile phone numbers are even better than social security numbers for identifying people.”

Bedrijven en organisaties dragen aan de dataverzameling van Facebook bij door zonder toestemming de gegevens van hun klanten aan Facebook te verstrekken. Dat blijkt uit een bericht van de Consumentenbond van begin deze maand.
Aan deze malafide praktijken werd onder meer meegedaan door zowel goede doelen organisaties als bedrijven, genoemd worden onder meer: ANWB, Nuo, Oxfam Novib, De Bijenkorf, Essent, KLM, Transavia, Bankgiroloterij, FBTO, KPN/Telfort, Postcodeloterij, Vakantieveilingen, Vriendenloterij, DPG Media (voorheen De Persgroep), Van Heerlijk.nl, HelloFresh en Hotels.nl. Enkele van hen stoppen met het ‘delen’, de rest gaat gewoon verder. Ik ben benieuwd of de Autoriteit Persoonsgegevens forse boetes gaat opleggen.

Nog mooier wordt het als alle mobiele telefoongesprekken door Facebook zouden worden afgeluisterd, zoals gebruikers in Duitsland vrezen. De privacytoezichthouder in Hamburg heeft dit in onderzoek.

Slavernij

Geniet nog maar even van de huidige wereld, want binnenkort moeten we wennen aan een ‘transparant’ slavenbestaan.

Meer informatie:

Geplaatst in ICT, privacy, e-commerce | Tags: , , , , , , | Plaats een reactie

Beleidsregel voor negen accountantsorganisaties

Geplaatst op 4 november 2017 door Ellen Timmer

Onlangs heeft de Autoriteit Financiële Markten (AFM) een beleidsregel inzake toetsing van beleidsbepalers bij OOB-accountantsorganisaties bekend gemaakt. Opmerkelijk is dat er maar ongeveer negen accountantsorganisaties zijn die een vergunning hebben voor zogenaamde ‘OOB’ opdrachten. Die afkorting staat voor ‘organisatie van openbaar belang‘, dit omvat grote rechtspersonen, zoals beursvennootschappen, banken en verzekeraars.

Dat betekent dat de AFM-beleidsregel maar voor een kleine groep accountantsorganisaties geldt. Je zou zeggen dat de beleidsregel dan heel wat specifieker kan.

Meer informatie:

Uitleg AFM over het begrip OOB:

In artikel 1, eerste lid, onderdeel l, van de Wta zijn specifieke ondernemingen en instellingen aangemerkt als organisatie van openbaar belang:

  • een in Nederland gevestigde rechtspersoon naar Nederlands recht waarvan effecten zijn toegelaten tot de handel op een gereglementeerde markt als bedoeld in artikel 1:1 van de Wet op het financieel toezicht
  • een bank met zetel in Nederland als bedoeld in artikel 1:1 van de Wet op het financieel toezicht waaraan een vergunning is verleend ingevolge die wet.
  • een centrale kredietinstelling met zetel in Nederland als bedoeld in artikel 1:1 van de Wet op het financieel toezicht waaraan een vergunning is verleend ingevolge die wet
  • een verzekeraar als bedoeld in artikel 1:1 van de Wet op het financieel toezicht met zetel in Nederland, niet zijnde een verzekeraar met beperkte risico-omvang als bedoeld in dat artikel
  • een onderneming, instelling of openbaar lichaam, behorende tot een van de ingevolge artikel 2 van de Wta aangewezen categorieën; tot op heden zijn deze categorieën nog niet aangewezen.
Geplaatst in Dienstverlening - juridisch financieel [advocaten, accountants, belastingadviseurs e.d.], Financieel recht, onder meer Wft, Wtt | Tags: , , , | Plaats een reactie

Wirtschaftsakademie case | joint controllers (GDPR)

Geplaatst op 3 november 2017 door Ellen Timmer

On 24 October 2017 an opinion of ECJ advocate general Bot regarding the Wirtschaftsakademie case was made public. The opinion is interesting, amongst others because Bot argues that in this case there are three controllers: Facebook US, Facebook Ireland and also the Wirtschaftsakademie. Regarding Wirtschaftsakademie he writes in paragraph 58:

58. I conclude from the foregoing that, in circumstances such as those of the dispute in the main proceedings, the administrator of a fan page on a social network such as Facebook must be regarded as being responsible for the phase of personal data processing consisting in the collection by that social network of data relating to people who visit the fan page.

Dimitris Zografopoulos in an article on LinkedIn that he expects the ECJ judgment to be important:

The judgment of the ECJ in this Case will be of a high importance (comp. the LindqvistCase, C-101/01)).
This major Case is not merely about Facebook and the correlative powers of national DPAs. It will also clarify more the concept of ‘controller’, the practice of tracking of browsing behaviour, profiling, and the practice of behavioral advertising in regard of the rules on the lawfulness of the processing of personal data.

Steve Peers wrote an article for EU Law Analysis about this opinion,

While it is harder to regulate mice than elephants, at least these mice appear to be clearly within the geographic jurisdiction of the German regulator – and will remain so even when the GDPR is in force.

More information:

Geplaatst in English - posts in English on this blog, Europa, ICT, privacy, e-commerce | Tags: , , , , , , | Plaats een reactie

European AML/CTF developments in the CCBE newsletter of October 2017

Geplaatst op 31 oktober 2017 door Ellen Timmer

Legal professionals have become impopular with the authorities, also in Europe, as is shown in the latest newsletter of Council of Bars and Law Societies of Europe (CCBE):

European Parliament Committee of Inquiry into Money Laundering, Tax Avoidance and Tax Evasion (PANA)

The CCBE has been following developments regarding the European Parliament Committee of Inquiry into Money Laundering, Tax Avoidance and Tax Evasion (PANA). On 28 June the two Co-Rapporteurs published their draft Report and draft Recommendations, and both are very critical of the legal profession and very damaging to self-regulatory bodies and professional privilege. The draft Report and Recommendations were open to amendments until 5 September and a vote took place in the Committee on 18 October. The CCBE has been working to ensure that both the role of the self-regulatory body is understood and that the importance of legal professional privilege/professional secrecy is understood as a number of proposed amendments did not reflect such an understanding. It is expected that the final Report and Recommendations will be voted on in December at a meeting of the European Parliament plenary session.

CCBE is further providing information on the revision of the 4th Anti-money laundering Directive and on the proposal regarding minimum rules in Europe concerning the definition of criminal offences and sanctions in the area of money laundering:

Revision of the 4th Anti-money laundering Directive

The European Parliament and the Council are carrying out ‘trilogue’ negotiations, assisted by the Commission, with a view to reaching an agreement on a revised Directive. To date, there have been 8 trilogue negotiations in order to reach a compromise. There are a number of issues, which require further progress at a political level, as there are significant differences between the positions of the Parliament and Member States on a number of points. For the CCBE, there are many issues of interest including obligations on the self-regulatory body, beneficial ownership provisions and trusts, enhanced due diligence requirements, the role of the Financial Intelligence Units and provisions regarding tax advice and other matters.

Proposal for a Directive on countering money laundering by criminal law

The CCBE is following the legislative developments regarding a Proposal for a Directive on countering money laundering by criminal law. The proposal itself aims to establish minimum rules concerning the definition of criminal offences and sanctions in the area of money laundering, as well as common provisions to improve the investigation of those offences and to better cooperation in the fight against money laundering. The key elements of the proposal include

(1) Money laundering offences
(2) Penalties for natural persons
(3) Aggravating circumstances
(4) Liability of and sanctions for legal persons (5) Jurisdiction.

The measure was announced by the Commission in its Action Plan on the fight against terrorist financing. It was proposed as the Commission noted that all Member States have criminalised money laundering, but that differences between Member States as to the definition of money laundering and the sanctions applied remained.

Geplaatst in Belastingrecht, Dienstverlening - juridisch financieel [advocaten, accountants, belastingadviseurs e.d.], English - posts in English on this blog, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Strafrecht | Tags: , | Plaats een reactie

Regelgevende ontwikkelingen in de sector van trustkantoren

Geplaatst op 30 oktober 2017 door Ellen Timmer

Voor de site van Compliance Platform Trustkantoren schreef ik een bericht waarin ik de laatste twee brieven in het dossier ‘Parlementaire ondervraging Fiscale constructies‘ bespreek.

Opmerkelijk is dat trustkantoren volgens de plannen van het ministerie van financiën de compliance functie niet meer mogen uitbesteden en dat zij onderscheid zullen moeten gaan maken tussen naleving van fiscale verplichtingen en belastingadvies (het laatste zal worden verboden).

Geplaatst in Belastingrecht, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Trustkantoren | Tags: , , , | Plaats een reactie

Functionaliteit van uitspraken.rechtspraak.nl verder verbeterd

Geplaatst op 20 oktober 2017 door Ellen Timmer

Terwijl sommige juridische informatieleveranciers tobben met hun systemen, wordt bij de rechtspraak rustig verder gewerkt aan verbeteringen. Als gevolg daarvan is het uitsprakenregister van de rechtspraak een zeer bruikbare informatiebron. Enige tijd geleden is al mogelijk gemaakt om pdf-versies van uitspraken te downloaden.

De nieuwste verbetering werd op 9 oktober jl. bekend gemaakt. Als in een uitspraak wordt verwezen naar bijvoorbeeld wetteksten, Europese regelgeving of internationale verdragen, kan door middel van een hyperlink worden doorgeklikt naar de betreffende bron. De nieuwe functionaliteit is ontwikkeld door Kennis- en Exploitatiecentrum Officiële Overheidspublicaties (KOOP).

Meer informatie over de huidige functionaliteit van uitspraken.rechtspraak.nl is te vinden in het bericht van 9 oktober.

Aanvulling 23 november 2017
Insolventieregister nu ook geschikt voor mobiele apparaten: lees dit bericht

Geplaatst in Juridisch diversen, Procesrecht, rechtspraak | Tags: , | Plaats een reactie

Private surveillance | burgers die elkaars gegevens weggeven en elkaar observeren

Geplaatst op 19 oktober 2017 door Ellen Timmer

Over surveillance door overheden en (grote) bedrijven wordt veel geschreven. Maar de surveillance mogelijkheden zijn er ook voor gewone burgers.

Op de site van het Rathenau Instituut verscheen over dat onderwerp het artikel “Little big brothers are watching you“. Daarin wordt besproken wij elkaar monitoren en observeren en dat dit ook tot problemen kan leiden. Dit wordt besproken onder de noemer “horizontale privacy“, dat gaat over hoe burgers onderling omgaan met die rechten, denk aan het online zetten van elkaars foto’s en filmmateriaal en aan het verspreiden van NAW- en andere persoonsgegevens. Het plan was om op 12 oktober jl. in de tweede kamer over dit onderwerp een rondetafelgesprek te laten plaats vinden (is uitgesteld). Ten behoeve van het gesprek is door het Rathenau Instituut een notitie geschreven.

Waarschijnlijk kan niet aan juridische maatregelen worden ontkomen. Rathenau schrijft in het artikel:

Juridische oplossingsrichtingen

* Strafrecht: het strafrecht kan ingezet worden om normen te stellen op het gebied van horizontale privacy. De vraag hier is steeds of de huidige regelgeving, bijvoorbeeld ten aanzien van smaad, voldoet, of uitgebreid moet worden, bijvoorbeeld door een aparte delictsomschrijving te maken of door niet alleen het plaatsen maar ook het delen van smadelijke berichten aan te pakken.
* Zorgplicht voor bedrijven: gezien de complexiteit van de vele informatiestromen en de veelheid manieren om in de wereld van het Internet of Things elkaar in de gaten te houden, pleit het Rathenau voor een zorgplicht voor bedrijven, zoals bijvoorbeeld neergelegd in de United Nations Guiding Principles on Business and Human Rights  (RUGGIE principles). Bedrijven dienen dus bij het ontwerp van diensten en producten al te bedenken hoe publieke waarden geborgd kunnen worden. Hier kunnen ze ook onderling en in gesprek met de overheid afspraken over maken – het Rathenau Instituut heeft daarom ook opgeroepen tot een digitaliseringsakkoord en een nationale dialoog over de betekenis van digitalisering voor de borging van publieke waarden.
* Nieuwe rechten: de komst van nieuwe technologie kan noodzaken tot het bedenken, uitbreiden en implementeren van nieuwe juridische en morele rechten. Zo pleit het Rathenau Instituut in haar rapport ‘Human Rights in the Robot Age’ (2017), geschreven op verzoek van de Raad van Europa, twee nieuwe mensenrechten: het recht om niet gemeten, geanalyseerd of beïnvloed te worden en het recht op betekenisvol menselijk contact (in het licht van de toenemende robotisering, met name in de zorg). Beide rechten zijn opgenomen in een recentelijk goedgekeurde resolutie van de Raad.

Disruptie ontmaskerd?

Wat er kan op het gebied van privaat volgen blijkt uit diverse berichten, bijvoorbeeld “Tracking friends and strangers using WhatsApp” (via security.nl), geschreven door een techneut die beschrijft dat voor veel monitoring activiteiten voldoende is om het mobiele nummer van het slachtoffer te hebben.

Al die mensen die over disruptie spreken, zouden zij het eigenlijk over nieuwe boevenstreken hebben die je kunt uithalen met IT?

Zoals die Uber-jongens?

Meer informatie:

Hier wat berichten over Uber:

Mogelijk zijn er nog meer van dit soort ‘disruptieve’ bedrijven…

Geplaatst in ICT, privacy, e-commerce | Tags: , , , | Plaats een reactie