Cybersecurity autoriteit durft Whatsapp niet af te keuren | NCSC

Geplaatst op 25 september 2017 door Ellen Timmer

Onlangs heeft het Nationaal Cyber Security Centrum (NCSC) een advies over gebruik van berichtenapps door bedrijven uitgebracht. Opvallend is dat het NCSC man en paard niet durft te noemen. Ze durven het niet aan om Whatsapp, het product van Facebook, af te keuren als berichtenapp.

Hoewel een beoordeling van berichtenapps alleen een momentopname kan zijn, moet worden geconcludeerd dat Whatsapp volstrekt ongeschikt is. Want het complete adresboek van de gebruiker wordt naar de servers van Facebook geüpload, alles zonder toestemming van al degenen die in dat adresboek staan. Dit is ongewenst voor klanten maar ook ongewenst voor mensen van bedrijven. Verder slaat Whatsapp gedrags- en gebruikersdata op en komen vertrouwelijke gegevens bij Facebook/Whatsapp terecht, op servers buiten de EU.

Of de huidige andere berichtenapps aan de vereisten voldoen, is de vraag.

E-mail is zeer onveilig

Dat er snel een veilige berichtenapp moet komen, staat buiten kijf, aangezien e-mail als communicatiemiddel volstrekt ongeschikt is. Het is als de fysieke briefkaart, die onderweg door iedereen kan worden gelezen. Dat is bij onschuldige berichten niet erg, maar verzending van vertrouwelijke informatie per e-mail kwalificeert onder de huidige privacy/security wetgeving als datalek.

Onafhankelijke Europese berichtenapp gewenst

Mij lijkt dat het hoog tijd is dat de Europese overheid een onafhankelijke en geaudite berichtenapp ontwikkelt of dat zo’n app met EU steun wordt ontwikkeld, zodat bedrijven een dergelijke app kunnen gebruiken voor de communicatie met hun klanten. De specificaties staan al in de factsheet van het NCSC.

Meer informatie:

Geplaatst in Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce | Tags: , , , , , | Plaats een reactie

Riskante praktijken van leveranciers van persoonsgegevens | Equifax

Geplaatst op 25 september 2017 door Ellen Timmer

Al eerder schreef ik over de onzorgvuldige en onveilige praktijken van de ondernemingen, die persoonsgegevens leveren aan bedrijven ten behoeve van onder meer kredietbeoordeling, witwasbestrijding en marketing. Zorgvuldige beveiliging en een correcte omgang met persoonsgegevens lijkt voor deze ondernemingen geen prioriteit te hebben.

Inmiddels is er het Equifax schandaal (diefstal van persoonsgegevens bij dit kredietbeoordelingsbedrijf). Berichten over Equifax zijn onder meer te vinden op security.nl, zoals:

Eerder schreef ik over de hack bij Dow Jones: “Antiwitwasdatabase van gegevensverzamelaar Dow Jones gelekt“, waarbij ook een grote hoeveelheid persoonsgegevens is gelekt.

Het is tijd dat gegevensverzamelaars onder strenge regulering en streng toezicht komen te vallen.

Meer artikelen over gegevensverzamelaars op dit blog.

Aanvulling 24 november 2017
Vreemd genoeg gaan er nergens stemmen op dat gegevensverzamelaars onder strenger toezicht behoren te komen. Wel krijgen ze meer aandacht van de privacy toezichthouders, zoals in de UK waar toezichthouder Information Commissioner’s Office (ICO) een boete heeft opgelegd aan een grote data broker in de UK, Verso Group (UK) Limited. Lees meer in ICO warns data broking industry after issuing £80,000 fine to unlawful data supplier.

Geplaatst in Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce | Tags: , , , , , | Plaats een reactie

Schadevoorkomingsclaims en de spookwereld van het financiële bestuursrecht

Geplaatst op 24 september 2017 door Ellen Timmer

Hartlief schreef voor het Nederlands Juristenblad een lezenswaardige ‘Vooraf’ over schadevoorkomingsclaims onder de titel “Leefbaar Nederland“.

Daarin signaleert hij dat in het privaatrecht stemmen opgaan dat schade voorkomen meer prioriteit moet krijgen dan (achteraf) schade vergoeden. Hartlief vreest een spookwereld waarin gemikt wordt op nakoming, verboden en bevelen, en waarin onhelder gedefinieerde actoren en doelen een rol spelen. Hartlief ziet niets in privaatrechtelijk preventierecht:

Het klinkt mooi en de bedoelingen zijn goed. Ruim baan geven aan schadevoorkomingsclaims in een wereld waarin aan vrijwel alles wat wij doen of laten risico’s voor onszelf of anderen verbonden zijn, voert echter niet naar een leefbaar Nederland.

Preventie in het bestuursrecht

Anders dan in het door Hartlief besproken privaatrecht, speelt in het financiële bestuursrecht preventie een grote rol. Een voorbeeld daarvan is de witwasbestrijding. In die regelgeving  is een spookwereld aan het ontstaan die zijn weerga niet kent. Een ondernemer kan worden veroordeeld omdat hij niet aan de bureaucratische voorschriften van die regels heeft voldaan. (En dus niet omdat die ondernemer heeft gefraudeerd of bewust heeft meegewerkt aan fraude door anderen.)

In de oude wereld wordt degene veroordeeld die een moord heeft gepleegd. In de nieuwe wereld wordt degene veroordeeld die geen preventieve maatregelen tegen moord heeft genomen.

Mij lijkt dat de conclusie van Hartlief ook geldt voor het financiële bestuursrecht: of de wereld leefbaarder wordt door de stortvloed van snel veranderende schadevoorkomingsregels op het gebied van belastingen, witwasbestrijding enzovoorts, valt te betwijfelen.

Geplaatst in Bestuursrecht, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, Juridisch diversen | Tags: , , | Plaats een reactie

Nationale Privacy Benchmark | hoe ver bent u met uw databeschermingsmaatregelen?

Geplaatst op 23 september 2017 door Ellen Timmer

Plaform voor de Informatiesamenleving ECP roept werknemers die te maken hebben met privacy binnen hun organisatie (zowel bedrijven en overheidsinstellingen) op om mee te doen aan de Nationale Privacy Benchmark:

Steeds meer persoonlijke en bedrijfsgegevens worden in steeds meer databases opgeslagen. Om inzage te krijgen in de manier waarop Nederlandse organisaties omgaan met het onderwerp privacy organiseert ECP | Platform voor de InformatieSamenleving in samenwerking met Verdonck Klooster & Associates de Nationale Privacy Benchmark 2017.

Hiervoor zijn we op zoek naar werknemers die te maken hebben met privacy binnen hun organisatie. Graag nodigen we u uit om deel te nemen aan het onderzoek.

De beantwoording van de vragenlijst geeft deelnemers al een eerste beeld of de organisatie wel ‘in control’ is met betrekking tot databescherming.

Meer informatie

Geplaatst in ICT, privacy, e-commerce | Tags: | Plaats een reactie

Digitale communicatie | raakt de overheid de burger kwijt?

Geplaatst op 22 september 2017 door Ellen Timmer

Al eerder signaleerde ik op dit blog dat zowel bedrijfsleven als overheid in hoog tempo bezig zijn de communicatie met burger en ondernemer te digitaliseren, vaak door middel van onveilige methoden zoals e-mail. De kwaliteit van de digitale communicatie laat regelmatig te wensen over.

De Nationale Ombudsman heeft meerdere malen aandacht van de overheid gevraagd voor gebrekkige automatisering en te optimistische verwachtingen bij de overheid inzake de digitale vaardigheden van de burgers. Op 6 september jl. presenteerde de Ombudsman zijn rapport over het onderzoek naar knelpunten voor burgers bij MijnOverheid. Het is afwachten of de rijksoverheid hier lering uit gaat trekken.

Op 8 september jl. verscheen op Digitale Overheid onderstaande reactie van het verantwoordelijke ministerie, binnenlandse zaken:

Reactie BZK op rapport MijnOverheid en Berichtenbox
Nieuws 8 september 2017

Op 6 september 2017 heeft de Nationale Ombudsman in de uitzending van Meldpunt! van Omroep Max een onderzoeksrapport over Mijnoverheid en de Berichtenbox naar buiten gebracht. Via MijnOverheid.nl kunnen burgers communiceren met de overheid. ‘En dat gaat niet altijd goed’, aldus de Nationale Ombudsman. Aanleiding voor het onderzoek was de stijging van het aantal klachten over digitale communicatie door de overheid. In het rapport worden enkele knelpunten benoemd, maar ook aanbevelingen gericht aan de minister van Binnenlandse Zaken en Koninkrijksrelaties.
Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties reageert als volgt op het rapport:

‘De meeste mensen zijn gewend digitaal te communiceren met de overheid, dat doen ze al met veel bedrijven en dat willen ze ook met de overheid. Maar voor mensen die dat niet willen, blijft papieren post voor de meeste organisaties een optie. Voor wie wel wil, maar niet kan, worden oplossingen gezocht zoals cursussen in bibliotheken. Voor de overheid is het van belang dat niemand buiten de boot valt. Wij kunnen ons vinden in de voorstellen van de Ombudsman en gaan aan de slag met de verbeteringen. Er wordt gewerkt aan een kabinetsreactie op de specifieke aanbevelingen van de Ombudsman’.

In het rapport zijn op diverse plaatsen reacties van BZK terug te vinden. Op de website van de Nationale Ombudsman vindt u naast het onderzoek ook een samenvatting van het rapport.

Het ministerie kondigt aan met de aanbevelingen van de Ombudsman aan de slag te zullen gaan. Dat is prima, maar het digitale vaardigheidsoptimisme van het ministerie blijft te groot, want mensen met minder digitale vaardigheden zullen ook met cursussen achter blijven. Dit betekent dat de overheidsautomatisering zo zal moeten worden ontworpen, dat deze ook begrijpelijk is voor mensen met beperkte digitale vaardigheden.

Meer informatie:

Aanvulling 27 september 2017
Zie ook “Nationale ombudsman: Digitalisering mag mensen niet uitsluiten“, op de site van het Rathenau Instituut.

Geplaatst in Bestuursrecht, ICT, privacy, e-commerce | Tags: , , , , | Plaats een reactie

Nederland is te klein voor LegalTech

Geplaatst op 22 september 2017 door Ellen Timmer

In Advocatie is weer eens een legaltech artikel verschenen. Lucien Wopereis citeert in zijn artikel hoogleraar Tom van Engers, die denkt dat er meer Nederlandse legaltech mogelijk is. Grappig is dat mensen als Van Engers zoveel verwachten van legaltech, terwijl Nederland daar te klein voor is. Dat wordt geïllustreerd door de markt van de fiscale aangiftesoftware waar de facto sprake is van een monopolie van Afas, tot ergernis van accountants- en administratiekantoren. De fiscale aangifte software is een heel grote markt, als het daar al niet lukt om concurrentie in legaltech te krijgen, hoe moet het dan in kleinere rechtsgebieden.

Ik geloof er helemaal niets van dat in Nederland legaltech tot ontwikkeling kan komen. Veel rechtsgebieden zijn te klein of commercieel niet interessant genoeg om de kosten te maken voor software die ook nog regelmatig moet worden aangepast. Wel zou het mooi zijn als er goede software tools zouden komen waarmee je als jurist zelf beslisbomen kan maken en op basis van beslisbomen documenten genereren. Maar dat is nog geen legaltech.

Op specifieke deelgebieden is natuurlijk wel iets mogelijk; zo lijkt me het voor de hand liggen dat het notariaat een rol gaat spelen als digitale vertrouwde partij. Dat stelt wel hoge technische eisen. De overheid heeft met dergelijke eisen grote moeite, zoals door het ‘eID’ dossier wordt geïllustreerd.

In Duitsland is de situatie anders. Zo is daar software ontwikkeld, https://www.personio.de/, waarin naar verluidt het Duitse arbeidsrecht compleet is ingebouwd.

NB Verrassend vind ik deze passage in het artikel: “Uit de fiscale praktijk blijkt dat klanten bereid zijn om te betalen voor het wegnemen van onzekerheden“. Geen idee waar men het over heeft.

Reageren op Mr., Advocatie en Advocatenblad kan niet…

Trouwens: vreemd dat sites als Mr., Advocatie en Advocatenblad geen mogelijkheid bieden om te reageren op de artikelen. Ook ontbreekt de mogelijkheid om artikelen als losse pdf-bestanden te downloaden, wat prettig is voor de velen die voornamelijk digitaal werken. Juridische tijdschriften kunnen nog een flinke digitaliseringsslag maken.

Geplaatst in Dienstverlening - juridisch financieel [advocaten, accountants, belastingadviseurs e.d.], Kantoororganisatie | Tags: , , , | Plaats een reactie

Privacy | adviesaanvraag Autoriteit Persoonsgegevens inzake wetsontwerp generieke digitale infrastructuur (GDI)

Geplaatst op 21 september 2017 door Ellen Timmer

De overheid is druk bezig met digitalisering van de processen. Onderdeel daarvan is de “generieke digitale infrastructuur” (GDI). Uit een bericht op Digitale Overheid blijkt dat het wetsvoorstel af is en voor advies aan de Autoriteit Persoonsgegevens gezonden:

Wetsontwerp generieke digitale infrastructuur (GDI)
Nieuws 31 augustus 2017

Op 30 augustus 2017 zijn het voorstel voor de Wet generieke digitale infrastructuur (GDI) en de bijbehorende memorie van toelichting voor advies naar de Autoriteit Persoonsgegevens gezonden.

In de Wet GDI is de generieke digitale infrastructuur vastgelegd die essentieel is voor de digitale dienstverlening van de overheid.
Het wetsvoorstel biedt de grondslag voor het verplicht stellen van standaarden die overheden moeten gebruiken in het elektronisch verkeer met andere overheden, met burgers en met bedrijven. Het wetsvoorstel heeft verder als doel dat burgers elektronische identificatiemiddelen (eID) krijgen met een hogere mate van betrouwbaarheid.

Deze identificatiemiddelen geven publieke dienstverleners meer zekerheid over iemands identiteit.

Verder regelt de wet regelt dat publieke dienstverleners verplicht zijn om identificatiemiddelen van het betrouwbaarheidsniveau ‘substantieel’ of ‘hoog’ te gebruiken om toegang te geven tot hun online diensten waarbij, gelet op de aard ervan, deze betrouwbaarheidsniveaus in de rede liggen.

Het voorstel biedt ook grondslagen voor de verwerking van persoonsgegevens, waaronder het burgerservicenummer, voor de digitale toegang tot publieke dienstverlening voor burgers en bedrijven. Om die reden is de Autoriteit Persoonsgegevens om advies gevraagd.

Inwerkingtreding van het wetsvoorstel is gepland op 1 januari 2019.

Op iBestuur is een artikel over GDI verschenen (20 september 2017). De drie auteurs leveren kritiek en bepleiten een meer coöperatieve aanpak.

Over het GDI schreef ik eerder (23 december 2016): Integriteitstoetsing private aanbieders ontbreekt in consultatie “Digitale toegang tot dienstverlening van de overheid”

Pellicaan Advocaten adviseert en assisteert op het gebied van databescherming. Meer informatie is op onze website te vinden.

Aanvulling 28 november 2017
Uit een bericht van 15 november op digitaleoverheid.nl blijkt dat de Wet GDI verder als “Wet digitale overheid” zal worden aangeduid:

Wet GDI verder als Wet digitale overheid
Nieuws 15 november 2017

De naam van de Wet generieke digitale infrastructuur (GDI) verandert in Wet digitale overheid.
Deze naam past beter bij de ambities van het nieuwe kabinet voor de verdere digitalisering van het openbaar bestuur. Ook geeft het beter aan wat de reikwijdte en het doel is. De wet is gericht op het verbeteren van de digitale overheid door standaarden voor elektronisch verkeer verplicht te stellen. Ook geeft het regels over informatieveiligheid en over de toegang van burgers en bedrijven tot online dienstverlening bij de (semi)overheid.
De planning is dat de Wet digitale overheid eind 2017 voor advies naar de Raad van State wordt gestuurd.

Voor verdere informatie wordt naar deze pagina verwezen.

Geplaatst in Bestuursrecht, ICT, privacy, e-commerce | Tags: , , , , , , , | Plaats een reactie

De ubo van de vereniging | artikel voor De Nederlandse Associatie

Geplaatst op 21 september 2017 door Ellen Timmer

Voor De Nederlandse Associatie, een de organisatie die tot doel heeft bij te dragen aan de professionalisering van Nederlandse branche-, beroeps- en belangenorganisaties, federaties, fondsen en bonden, schreef ik een artikel over de uiteindelijk belanghebbende (ubo) bij de vereniging.

Het artikel volgt hier onder en kan ook als pdf worden gedownload, zie aan het slot.

De ubo van de vereniging
20-09-2017 Nieuwsbericht

Uit de Prinsjesdagstukken blijkt dat het openbare UBO-register pas in 2018 wordt opgericht. Het komt wel, maar iets later. Dit gaat echter niet alleen over DGA’s – zoals vaak gedacht wordt – ook bestuurders van verenigingen krijgen hiermee te maken.

Door Ellen Timmer

Ook verenigingen moeten steeds meer voldoen aan wat Europeanen met elkaar vinden. Dit keer gaat het om antiwitwasrichtlijnen. De Vierde Europese Antiwitwasrichtlijn moet nog in de Nederlandse wetgeving worden opgenomen en heeft gevolgen voor bestuurders van verenigingen. Ook zij worden UBO, opgenomen worden in een UBO-register en een PEP-test ondergaan.

Situatie nu
In Nederland zijn de antiwitwasregels vastgelegd in de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). De organisaties die zich aan de Wwft moeten houden (Wwft-plichtigen), hebben allerlei verplichtingen, onder andere om cliëntenonderzoek te doen en transacties met indicaties van witwassen of terrorismefinanciering (‘ongebruikelijke transacties’) te melden bij FIU-Nederland.

Verenigingen kunnen op twee manieren met de Wwft te maken krijgen:
• doordat de vereniging zelf Wwft-plichtig is;
• doordat de vereniging te maken heeft met een onderneming die Wwft-plichtig is.

Activiteiten waardoor een vereniging zelf onder de Wwft kan vallen. Relevant zijn onder andere:
• administratiekantooractiviteiten,
• belastingadvies,
• bemiddeling in levensverzekeringen,
• domicilieverlening,
• handel in zaken (als contant betaald wordt),
• juridische dienstverlening,
• optreden als makelaar of tussenpersoon in zaken van grote waarde,
• exploitatie van een speelcasino,
• taxateurswerkzaamheden en
• verhuur van safes.

Verenigingen zullen in de praktijk vooral te maken hebben met de consequenties van Vwft-verplichtingen door andere organisaties, waar zij zaken meedoen, zoals de bank, het administratiekantoor, de belastingadviseur en de juridisch adviseur. Al deze ondernemingen moeten cliëntenonderzoek doen. Onderdeel van dat cliëntenonderzoek is dat zij moeten nagaan of de vereniging een ‘uiteindelijk belanghebbende’ heeft.

De ubo’s van de vereniging
Eén van de gevolgen van de nieuwe Europese regels is dat het begrip uiteindelijk belanghebbende is veranderd. Oorspronkelijk werd bij het begrip uiteindelijk belanghebbende (ubo) gedacht aan aandeelhouders met een kwart of meer van de aandelen en aan personen met gelijksoortige zeggenschap. De Europese regelgever heeft het begrip ubo nu ruimer gedefinieerd.
Het lijkt er op dat iedere rechtspersoon straks een ubo moet hebben, ook verenigingen. Bij verenigingen zullen in de meeste gevallen de bestuurders als ubo worden aangemerkt.
Nieuw is verder dat Europa voorschrijft dat in alle Europese landen een register van uiteindelijk belanghebbenden, het ubo-register, moet worden ingesteld. De rechtspersonen moeten zelf zorgen voor het vullen van dat register.
Er bestaat geen behoorlijke toelichting op het besluit van de Europese wetgever om leidinggevenden van rechtspersonen als ubo aan te merken. Voorts is geheel duister wat het nut van de ubo-kwalificatie is bij verenigingen en stichtingen in het algemeen.
Aanwezigheid van een ubo heeft allerlei consequenties, onder meer dat de ubo moet worden ingeschreven in het eerder genoemde ubo-register. Wwft-plichtigen, zoals de bank, zullen nagaan of hun cliënt aan de verplichting tot registratie van de ubo’s heeft voldaan.

PEP-test
Gevolg van het zijn van ubo is dat moet worden nagegaan of de ubo valt in de rubriek ‘politically exposed persons’, politiek prominente personen, afgekort PEP’s. Aanwezigheid van een PEP wordt verondersteld tot hogere risico’s op witwassen en terrorismefinanciering te leiden. Voorheen betrof de controle op de PEP alleen buitenlanders. Europa heeft voorgeschreven dat de PEP-controle nu ook bij ubo’s uit het eigen land moet plaats vinden. Gevolg is dat bij Nederlandse verenigingen met Nederlandse bestuurders moet worden nagegaan of de bestuurders een ‘PEP’ zijn.

Wie is de PEP?
een persoon die een prominente publieke functie bekleedt of bekleed heeft, zoals:
a) staatshoofden, regeringsleiders, ministers, onderministers en staatssecretarissen;
b) parlementsleden en leden van soortgelijke wetgevende organen;
c) leden van bestuurslichamen van politieke partijen;
d) leden van hooggerechtshoven, constitutionele hoven of van andere hoge rechterlijke instanties die arresten wijzen waartegen geen beroep openstaat, behalve in uitzonderlijke omstandigheden;
e) leden van rekenkamers of van raden van bestuur van centrale banken;
f) ambassadeurs, zaakgelastigden en hoge officieren van de strijdkrachten;
g) leden van het leidinggevend, toezichthoudend of bestuurslichaam van staatsbedrijven;
h) bestuurders, plaatsvervangend bestuurders en leden van de raad van bestuur of bekleders van een gelijkwaardige functie bij een internationale organisatie.

Middelbare of lagere ambtenaren vallen niet onder de in de punten a) tot en met h) bedoelde publieke functies;

Familieleden van een PEP
Voorts zijn ook familieleden en naaste geassocieerden van de voornoemde natuurlijke personen PEP.
a) de echtgenoot van een prominent politieke persoon of een persoon die als gelijkwaardig met de echtgenoot van een prominent politieke persoon wordt aangemerkt;
b) de kinderen van politiek prominente personen, en de echtgenoten van die kinderen of de personen die als gelijkwaardig met de echtgenoot worden aangemerkt;
c) de ouders van een politiek prominente persoon;

‘Naaste geassocieerden’ van een PEP
a) natuurlijke personen van wie bekend is dat deze met een politiek prominente persoon de gezamenlijke uiteindelijk begunstigden zijn van juridische entiteiten of juridische constructies, of met een politiek prominente persoon andere nauwe zakelijke relaties heeft;
b) natuurlijke personen die als enige de uiteindelijk begunstigden zijn van een juridische entiteit of juridische constructie waarvan bekend is dat deze is opgezet ten behoeve van de feitelijke begunstiging van een prominent politieke persoon.

Hoog risico
Wwft-plichtigen moeten bij iedere cliënt een risicoanalyse maken en deze up-to-date houden. Voor de leesbaarheid bespreek ik hierna alleen het voorbeeld van een bank.
De bank is verplicht om van iedere cliënt een risicoanalyse te maken en hier rekening mee te houden. Daarbij speelt of een rechtspersoon PEP’s heeft. Voorts dient de bank na te gaan of de cliënt activiteiten heeft die mogelijk risicovol zijn.
In dat verband is opmerkelijk dat de Europese Commissie onlangs een Supranational Risk Assessment Report (SNRA) heeft uitgebracht waarin de complete not-for-profit als ‘hoog risico’ wordt aangemerkt. Dus niet alleen politieke partijen die worden gesponsord door Amerikaanse ultrarechtse groeperingen of moskeeën die geld van Saoedi-Arabië krijgen zijn volgens Europa een hoog risico. Bij deze beoordeling door de Europese Commissie kunnen grote vraagtekens worden geplaatst. De Nederlandse rijksoverheid is verplicht de bevindingen van de Europese Commissie over te nemen.
Aangezien verenigingen not-for-profit zijn, betekent dit dat verenigingen ook zonder PEP’s in de hoogste risicocategorie terechtkomen. Banken moeten bij hoog risico-cliënten extra maatregelen nemen om het. risico te beperken. Mogelijk zal dit voor de vereniging extra kosten tot gevolg hebben.
In het verleden hebben verschillende banken er voor gekozen om geen zaken meer te doen met partijen waaraan PEP’s verbonden zijn (zoals banken ook niet blij zijn met mensen waarop de FATCA van toepassing is, een richtlijn van de Amerikaanse Belastingdienst die betrekking heeft op personen die als ‘USperson’ aangemerkt kunnen worden). Nu not-for-profit leidt tot hoog risico, kan dat een reden zijn om van not-for-profit cliënten afscheid te nemen. Hoe banken hiermee onder de nieuwe regelgeving zullen omgaan is nog niet bekend.

Tot slot
De praktische uitwerking van de Europese regels in Nederland is nog niet bekend omdat Nederland achterloopt met de invoering van de Europese richtlijn. Er is al wel een wetgevende consultatie gehouden, maar daarin is geen openheid gegeven over de consequenties voor Nederlandse rechtsvormen.
Het is voor verenigingen aan te bevelen de ontwikkelingen rondom de antiwitwasregelgeving in Nederland te volgen en te zorgen dat u bent voorbereid op wat er op u af kan komen.

Tips
• Zorg dat u in beeld heeft of bestuurders van uw vereniging vallen in de categorie PEP. Verdiep u in de consequenties als dat het geval is. Zorg ervoor dat hier voortaan standaard naar wordt gevraagd bij selectie van bestuurders.
• Wees oplettend als er vragen worden gesteld naar aanleiding van de Wwft en ubo-wetgeving. Er is veel onjuiste informatie in omloop, dus probeer kaf van het koren te scheiden.
• Let er op dat voor zover persoonsgegevens moeten worden uitgewisseld, de Wet bescherming persoonsgegevens onverkort van toepassing is. Dat betekent dat degene wiens persoonsgegevens worden verstrekt, moet worden geïnformeerd, dat niet meer persoonsgegevens mogen worden verstrekt dan wettelijk vereist en dat passende beveiligingsmaatregelen moeten worden genomen, met inbegrip van beveiligde verzenden van de persoonsgegevens.

 

Meer informatie:

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Rechtspersonenrecht, Ubo-register | Tags: , , , , , | Plaats een reactie

De privacy bij het handelsregister

Geplaatst op 20 september 2017 door Ellen Timmer

Het handelsregister is een interessante bron van persoonsgegevens, zoals ik eerder memoreerde in een artikel over open data initiatieven. Zo nu en dan komt de privacy van het handelsregister ook in de rechtspraak aan de orde, recent in een uitspraak van Gerechtshof Arnhem-Leeuwarden.

Het betrof een strafzaak over het niet-inschrijven van een onderneming in het handelsregister, in strijd met de Handelsregisterwet 2007 en artikel 2 lid 1 van het Handelsregisterbesluit 2008. De verdachte (degene die met inschrijving nalatig was) heeft zich op het standpunt gesteld dat het door de Kamer van Koophandel openbaar maken van bepaalde door verdachte verstrekte gegevens onrechtmatig is. Daartoe is namens verdachte aangevoerd dat de toepasselijke wetgeving in strijd is met het EVRM en dat er onvoldoende waarborgen zijn ter bescherming van de privacy van verdachte, dan wel dat indien en voor zover er wel waarborgen zijn, de Kamer van Koophandel deze waarborgen niet toepast. Ook is namens verdachte aangevoerd dat de verwerking van persoonsgegevens onrechtmatig is.

Dit standpunt was aanleiding voor het hof om het wettelijk kader uitvoerig te bespreken, met een voorspelbare uitkomst:

Wetgeving
Bij de beoordeling van het verweer van verdachte zijn onder meer de volgende wetsartikelen van belang:

Handelsregisterwet 2007:

Artikel 2
Er is een handelsregister van ondernemingen en rechtspersonen:
a. ter bevordering van de rechtszekerheid in het economisch verkeer;
b. voor de verstrekking van gegevens van algemene, feitelijke aard omtrent de samenstelling van ondernemingen en rechtspersonen ter bevordering van de economische belangen van handel, industrie, ambacht en dienstverlening;
c. voor het registreren van alle ondernemingen en rechtspersonen als onderdeel van de gegevenshuishouding die bijdraagt aan het efficiënt functioneren van de overheid.

Artikel 9
In het handelsregister worden over een onderneming opgenomen:
a. een door een kamer toegekend uniek nummer;
b. de handelsnaam of de handelsnamen;
c. de datum van aanvang, voortzetting of beëindiging;
d. degene aan wie de onderneming toebehoort;
e. de vestigingen.

Artikel 10
1. In het handelsregister worden over degene aan wie een onderneming toebehoort, indien deze een rechtspersoon is, de in artikel 12 genoemde gegevens opgenomen.
2. In het handelsregister worden over degene aan wie een onderneming toebehoort, indien deze een natuurlijke persoon is, opgenomen:
a. het burgerservicenummer, bedoeld in artikel 1, onderdeel b, van de Wet algemene bepalingen burgerservicenummer, het geslacht, de geboorteplaats en het geboorteland;
b. de naam;
c. het adres;
d. de geboortedatum;
e. de datum van overlijden.
[…].

Artikel 11
1. In het handelsregister worden over een vestiging van een onderneming opgenomen:
a. een door de Kamer toegekend uniek nummer;
b. de handelsnaam of handelsnamen;
c. het post- en bezoekadres;
d. de datum van ingebruikname en beëindiging.
2. Indien een onderneming meerdere vestigingen heeft, wordt in het handelsregister opgenomen welke vestiging de hoofdvestiging of de hoofdnederzetting is.

Artikel 21
1. De in artikel 9, 10, met uitzondering van het tweede lid, onderdeel a en het derde lid, onderdeel e, onder 1°, eerste gedachtestreepje, 11, 12, 13, 14, 16, tweede lid, en 16a, eerste lid, genoemde gegevens, de in artikel 17, onderdeel a, bedoelde gegevens, en de krachtens wettelijk voorschrift gedeponeerde bescheiden kunnen door een ieder worden ingezien.
2. Een handtekening kan niet in elektronische vorm worden ingezien.

Artikel 22
1. De Kamer verstrekt op elektronisch verzoek, indien gewenst in elektronische vorm, een afschrift van of uittreksel uit de gegevens en bescheiden, bedoeld in artikel 21.
2. De Kamer verstrekt op elektronisch verzoek gegevens van algemene, feitelijke aard omtrent de samenstelling van ondernemingen en rechtspersonen uit het handelsregister ter bevordering van de economische belangen van handel, industrie, ambacht en dienstverlening. Bij het verstrekken van gegevens omtrent de samenstelling van ondernemingen en rechtspersonen worden deze gegevens niet gerangschikt naar natuurlijke personen.
3. Een verzoek als bedoeld in het eerste of tweede lid wordt mede door een kamer in behandeling genomen indien het op andere dan elektronische wijze is gedaan.
4. In afwijking van het eerste lid verstrekt de Kamer een handtekening niet in elektronische vorm.

Artikel 23
Bij algemene maatregel van bestuur kunnen ter bescherming van de persoonlijke levenssfeer van de personen die in het handelsregister staan ingeschreven voor daarbij aangewezen gegevens of bescheiden of categorieën van gegevens of bescheiden, beperkingen worden vastgesteld ten aanzien van het bepaalde in de artikelen 21, 22 en 28.

Handelsregisterbesluit 2008:
Artikel 51
[…]
3. Het adres van een natuurlijk persoon kan op zijn verzoek worden afgeschermd tegen inzage door anderen dan bestuursorganen, als bedoeld in artikel 1:1, eerste lid, onderdeel a, van de Algemene wet bestuursrecht, advocaten, deurwaarders, notarissen en de in artikel 28, derde lid, van de wet genoemde organisaties, indien:
a. er sprake is van een waarschijnlijke dreiging;
b. het woonadres in het handelsregister niet kan worden ingezien met betrekking tot een andere onderneming;
c. betrokkene niet beschikt over een openbaar telefoonnummer;
d. deze persoon zelf maatregelen heeft genomen om de bekendheid van zijn adres te verminderen, en
e. het belang van afscherming zwaarder weegt dan de rechtszekerheid in het economisch verkeer.

Verstrekking van gegevens
Het hof stelt op grond van de hierboven weergegeven wetsartikelen het volgende vast. Van een natuurlijk persoon, aan wie een onderneming toebehoort, wordt in het handelsregister opgenomen het burgerservicenummer (hierna te noemen: BSN), het geslacht, de geboorteplaats, het geboorteland, de naam, het adres, de geboortedatum en (eventueel) de datum van overlijden. Van deze gegevens zijn alleen de naam, het adres, de geboortedatum en de datum van overlijden voor eenieder in te zien. Daarnaast kan onder bepaalde voorwaarden het adres van een natuurlijk persoon worden afgeschermd. Van een onderneming worden onder andere de handelsnaam, degene aan wie de onderneming toebehoort en de vestiging(en) geregistreerd. Over deze vestigingen wordt onder meer opgenomen het post- en bezoekadres. Al deze gegevens zijn ook voor eenieder in te zien. De gegevens worden door de Kamer van Koophandel (hierna: KvK) op verzoek verstrekt.

Doelstelling
In artikel 2 Handelsregisterwet 2007 is als een van de doelstellingen opgenomen de bevordering van de rechtszekerheid in het economisch verkeer. In de memorie van toelichting van de Handelsregisterwet 2007 wordt ten aanzien van de doelstelling vermeld dat “het onderhavige register zowel het bijdragen aan het efficiënt functioneren van de overheid ten doel heeft als de doelen waarvoor het handelsregister indertijd is ingesteld. Deze laatste zijn bevordering van de rechtszekerheid in het economische verkeer en bevordering van de economische belangen van handel, industrie, ambacht en dienstverlening. In het handelsregister zijn belangrijke gegevens over en voor ondernemingen en rechtspersonen vastgelegd, zoals bijvoorbeeld wie tekeningsbevoegd is. Door het toegankelijk maken van deze gegevens biedt het handelsregister rechtszekerheid bij het aangaan van overeenkomsten, met zowel leveranciers als afnemers.” Over het openbaar maken van de gegevens wordt het volgende vermeld: “het beginsel van openbaarheid vloeit logisch voort uit een van de functies van het register namelijk het bevorderen van de rechtszekerheid in het economisch verkeer en het bevorderen van de economische belangen van handel, industrie, ambacht en dienstverlening.” Tot slot wordt vermeld dat “het beginsel van openbaarheid geldt ten aanzien van alle ondernemingen en rechtspersonen die in het register zullen zijn opgenomen, dus ook voor organisatievormen of rechtsvormen die thans niet zijn opgenomen in het handelsregister, zoals eenmanszaken in de landbouw en vrije beroepsbeoefenaren. In de geschiedenis van de Handelsregisterwet 1996 is de kring van ingeschrevenen vaker vergroot […]. Destijds is besloten ten aanzien van openbaarheid geen uitzonderingspositie te creëren. Ook thans is geen aanleiding om ten aanzien van ondernemingen en rechtspersonen die nieuw zullen worden opgenomen in het register, een andere koers te varen.”

Op basis daarvan komt de rechter tot het volgende oordeel:

Toegepast op het onderhavige geval stelt het hof vast dat verdachtes naam, privéadres en geboortedatum in het handelsregister geregistreerd worden en voor eenieder op verzoek ingezien kunnen worden. Van zijn onderneming kan ook het post- en bezoekadres worden ingezien, welke, volgens de verklaring van verdachte, hetzelfde is als zijn privéadres. Het privéadres van verdachte kan onder bepaalde voorwaarden op grond van artikel 51 van het Handelsregisterbesluit worden afgeschermd, zodat het niet door eenieder kan worden ingezien.
Ten aanzien van de verkoop van de bij de KvK geregistreerde gegevens betreffende verdachte aan adverteerders, zoals door de raadsman is aangevoerd, wijst het hof op de brief van de Kamer van Koophandel aan verdachte van 2 december 2009, die door verdachte aan het hof is verstrekt. In deze brief wordt vermeld dat verdachtes adres niet zal worden verstrekt aan derden voor mailingdoeleinden, indien hij dit bij inschrijving in het register aangeeft.

Artikel 8 EVRM
Het openbaar maken van de hierboven genoemde gegevens kan een inmenging zijn op het in artikel 8 EVRM vastgelegde recht op privéleven. Deze inmenging kan gerechtvaardigd zijn als deze bij wet is voorzien en noodzakelijk is in een democratische samenleving in het belang van bepaalde in artikel 8 lid 2 EVRM genoemde gronden.
De inmenging in het privéleven is bij wet voorzien. Naar het oordeel van het hof is, in het licht van de in de memorie van toelichting van de Handelsregisterwet 2007 genoemde doelstellingen, de inmenging noodzakelijk in het belang van het economisch welzijn. Uit de memorie van toelichting blijkt, dat aan het opnemen en openbaar maken van gegevens een belangenafweging ten grondslag heeft gelegen en dat de wetgever welbewust heeft gekozen voor de huidige regeling, die ook inhoudt dat bepaalde gegevens betreffende eenmanszaken openbaar zijn. De wetgever is daarbij kennelijk van oordeel geweest dat de daarmee gepaard gaande inbreuk op grondrechten van burgers gerechtvaardigd wordt door en niet onevenredig is in verhouding tot de daarmee te bereiken doelstellingen. Ook worden niet zonder meer alle gegevens openbaar gemaakt, maar heeft de wetgever een keuze gemaakt welke gegevens openbaar zijn en is voorzien in de mogelijkheid om bepaalde gegevens af te schermen, indien het openbaren daarvan een disproportionele inbreuk op het privéleven van een betrokkene zou maken.

Naar het oordeel van het hof is, gelet hier op, niet gebleken dat er sprake is van een onaanvaardbare inbreuk op het recht op privacy, zoals vastgelegd in artikel 8 EVRM.

De enkele omstandigheid dat, zoals is aangevoerd door de verdediging, in het handelsregister ook gegevens van bijvoorbeeld katvangers kunnen staan, maakt niet dat de doelstelling van het register in zijn geheel niet meer gediend zou kunnen worden met de openbaarheid van het register. Hetzelfde geldt voor de omstandigheid dat door kwaadwillenden misbruik gemaakt zou kunnen worden van de voor eenieder verkrijgbare gegevens.

Verwerken van persoonsgegevens
Het recht op bescherming van persoonsgegevens is onder andere vastgelegd in artikel 10 van de Grondwet en in artikel 8 van het Handvest van de Grondrechten van de Europese Unie. Het recht is uitgewerkt in de Wet bescherming persoonsgegevens (Wbp).

Volgens artikel 6 Wbp worden persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt. Artikel 7 Wbp bepaalt dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verwerkt. Op grond van artikel 8 sub c Wbp mogen persoonsgegevens worden verwerkt indien dit noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke is onderworpen.

Het hof neemt in aanmerking het arrest van het Hof van Justitie van de Europese Unie van 9 maart 2017 (zaak C-398/15, ECLI:EU:C:2017:197). In rechtsoverweging 32 overweegt het Hof dat “uit artikel 2, lid 1, onder d), van richtlijn 68/151 volgt dat de lidstaten de nodige maatregelen moeten nemen opdat de verplichte openbaarmaking betreffende vennootschappen tenminste plaatsvindt voor […] de identiteit van de personen die […] de bevoegdheid hebben de betrokken vennootschap ten opzichte van derden te verbinden en haar in rechte te vertegenwoordigen […].” Uit artikel 3 van dezelfde richtlijn volgt daarnaast dat deze gegevens ingeschreven worden in een handelsregister en moet een volledig of gedeeltelijk afschrift van de gegevens op aanvraag verkrijgbaar zijn.

Vervolgens overweegt het Hof van Justitie dat de bovengenoemde verwerking van persoonsgegevens in overeenstemming is met een aantal in artikel 7 van richtlijn 95/46 neergelegde toelaatbaarheidsgronden, “namelijk de onder c) genoemde grond met betrekking tot het nakomen van een wettelijke verplichting, de onder e) genoemde grond met betrekking tot de uitoefening van het openbaar gezag of de vervulling van een taak van algemeen belang, en de onder f) genoemde grond met betrekking tot de behartiging van een gerechtvaardigd belang van de voor de verwerking verantwoordelijke of van de derden aan wie de gegevens worden verstrekt.”

Naar het oordeel van het hof zijn voorgaande overwegingen mutatis mutandis van toepassing op de openbaarmaking van gegevens betreffende een natuurlijk persoon die een onderneming drijft.
De verwerking van persoonsgegevens door de KvK is, gelet op hetgeen hiervoor is weergegeven met betrekking tot de doelstelling van de Handelsregisterwet en het doel van de verwerking, de in de wet vervatte waarborgen, de geboden mogelijkheid tot inzage, correctie en verwijdering van persoonsgegevens en het hierboven aangehaalde arrest van het Hof van Justitie, niet onrechtmatig jegens verdachte.
In het licht van het voorgaande is het hof tevens van oordeel dat er geen grond is voor het stellen van een prejudiciële vraag aan het Hof van Justitie van de Europese Unie.

Vervolgens volgt veroordeling van verdachte tot een voorwaardelijke geldboete.

Aanvulling 8 november 2017

Zie over de privacy van het handelsregister ook het WPNR themanummer privacy en openbare registers van 4 november 2017. In dat nummer artikelen door A. Berlee, I.J. Kloek-Tromp, B. Snijder-Kuipers, H. Koster en S. Brijs/N. Van Landuyt.

Geplaatst in Handelsregister, ICT, privacy, e-commerce, Kamer van Koophandel, Rechtspersonenrecht | Tags: , , , | Plaats een reactie

Hoogleraar computerbeveiliging Bart Jacobs | “PSD2, een Europese strategische blunder”

Geplaatst op 20 september 2017 door Ellen Timmer

Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit in Nijmegen en voorzitter van de stichting Privacy by Design,  schreef voor iBestuur de opinie “PSD2, een Europese strategische blunder“. Daarin veegt hij de vloer aan met het Europese besluit om banken te verplichten aan fintech bedrijven toegang te verlenen tot hun systemen.

De naïeve drijfveer van het Directoraat Mededinging lijkt te zijn geweest om al die kleine sympathieke FinTech startups te helpen, ten koste van die nare grote banken die maar op hun gouden eieren blijven zitten. Het lijkt bij niemand te zijn opgekomen dat misschien niet alleen kleine sympathieke partijen een PSD2 vergunning aan zullen vragen, maar ook minder sympathieke Amerikaanse ICT-giganten, zoals de big five: Google, Facebook, Apple, Microsoft en Amazon. Zij krijgen zo het tafelzilver van Europese banken gratis op een presenteerblaadje aangeboden. De Europese banken kunnen door deze big five kosteloos leeggezogen worden, terwijl ze een niet-kosteloze betaalinfrastructuur in stand moeten houden. De bankensector raakt hierbij het contact met de eigen klanten kwijt en verliest de controle over zeer gevoelige persoonsgegevens.

Een lezenswaardig artikel.

Andermans persoonsgegevens

Overigens bespreekt Jacobs niet dat door middel van de individueel verleende toegang de fintech bedrijven gegevens over anderen dan de toestemminggever krijgen (= privépersonen waarmee de toestemming gevende burger financiële relaties onderhoudt).

Voorbeeld:

  • De heer X verleent de bank toestemming om de rekeninggegevens aan Facebook te verstrekken.
  • X heeft een lening verstrekt aan zijn zus die deze maandelijks aflost. Facebook krijgt dus via X toegang tot de privégegevens van zijn zus.
  • X huurt een appartement van privépersoon Y en betaalt maandelijks huur aan die privépersoon. Facebook komt via deze weg te weten dat Y woonruimte verhuurt.

Dit lijkt op het adresboekjatten dat nu al gewone praktijk is (al denk ik dat het illegaal is). Voorbeeld: LinkedIn vraagt toegang tot het adresboek van A, met daarin persoonsgegevens (namen, adressen, enzovoorts) van personen B tot en met T. LinkedIn krijgt alleen toestemming van A, niet van B tot en met T.

Uitwerking PSD2

In het kader van de databeschermingsregelgeving is daarom gewenst dat de fintech bedrijven geen persoonsgegevens van anderen dan hun eigen klanten in handen krijgen.

Een strenge regulering en controle op de naleving van de databeschermingsregelgeving is gewenst; het is te hopen dat de Algemene Verordening Gegevensbescherming en de ePrivacy regels daar basis voor zullen zijn. Voorts is gewenst dat de fintech bedrijven streng worden gescreend en dat er krachtig toezicht plaats vindt.

Aanvulling 21 september 2017
Zie over de privacy issues van PSD2 ook het artikel in het FD, “Chaos dreigt rondom invoering betaalrichtlijn PSD2“.

Aanvulling 27 september 2017
Inmiddels is de internetconsultatie over de Nederlandse implementatie van PSD2 gestart, inleiding:

Implementatiebesluit herziene richtlijn betaaldiensten. Dit besluit implementeert richtlijn nr. 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG (hierna: PSD II of de richtlijn).

De conceptregeling is hier te vinden.

Geplaatst in Financieel recht, onder meer Wft, Wtt, ICT, privacy, e-commerce | Tags: , , , , , , , , | Plaats een reactie