Corporate Surveillance in Everyday Life | big data in finance

Geplaatst op 14 juni 2017 door Ellen Timmer

Identity verification, fraud detection, and other risk analytics services are becoming major services provided by private companies that are not under any form of supervision.

Those interested in the current status of tracking and surveillance practices in the private sector should read the paper “Corporate Surveillance in Everyday Life” by Wolfie Christl. On pages 32 and further information is provided on risk analytics services and companies providing these. The introduction:

With the rise of technology-mediated services, verifying consumer identities and preventing  fraud have both become increasingly important and challenging issues, especially in the light  of cybercrime and automated fraud. At the same time, today’s data-driven identity and  fraud analysis systems have aggregated giant databases with sensitive information about entire populations, ranging from names, addresses, and relationships between people to extensive behavioral and biometric data. Many of these systems are operated by private companies and cover a wide range of use cases, including proof of identity for financial services, assessing insurance and benefits claims, analyzing payment transactions, and evaluating a large  variety of online transactions. They decide whether an application or transaction is accepted or  rejected, or which payment and shipping options are available for someone during an online  transaction. Commercial services for identity verification and fraud analytics are also used in  areas such as law enforcement and national security. The line between commercial applications of identity and fraud analytics and those used by government intelligence services is increasingly blurring.

The paper mentions companies like Experian, Acxiom, Equifax, Verizon, LexisNexis, Trustev, TransUnion, Arvato, Symantec, ThreatMetrix, AdTruth and many others. Some of these companies collect biometric information on persons (including fingerprints and voice recognition). Probably governments already have much more, page 34:

In 2016, a report found that a facial recognition database used by the FBI contained photos of half of all adults in the US, without their knowledge or consent.

Device fingerprinting seems to be a common practice to follow users over different devices. All these parties collect social security numbers (seems to be allowed in these countries, different from the Dutch rules regarding BSN).

AML / CFT information

In the report there is no specific information on the parties providing information services to combat money-laundering and terrorist financing. Probably the same parties as mentioned in the report provide those services.

More information:

  • Announcement by the publisher, Cracked Labs
  • Report “Corporate Surveillance in Everyday Life” by Wolfie Christl (pdf)

Addition of 17 July 2017
Theodore Rostow, a student of Yale wrote November last year “What Happens When an Acquaintance Buys Your Data?: A New Privacy Harm in the Age of Data Brokers“. This regards the US, abstract:

Data brokers have begun to sell consumer information to individual buyers looking to track the activities of romantic interests, professional contacts, and other people of interest. The types of data available for consumer purchase seem likely to expand over the next few years. This trend invites the emergence of a new type of privacy harm, “relational control” — the influence that a person can exert on another in their social or professional networks using covertly acquired private information.

Addition 21 December 2017
Erik Kamenjasevic wrote two articles on profiling in the financial sector under the GDPR (1, 2). In the second article he describes bank automatically processes a customer’s data for e.g.:

  • fraud detection and prevention
  • credit risk scoring
  • cash flow forecasting

Banks have to assess carefully their obligations under GDPR:

However, even when one of the three exceptions applies and a bank delivers automated decisions to its customers, paragraph 3 of Article 22 of the GDPR imposes further obligations and requires the bank to implement suitable measures in order to safeguard the rights, freedoms and legitimate interests of a data subject.

Geplaatst in English - posts in English on this blog, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce | Tags: , , , , , , , , , , , , , , , , | Plaats een reactie

AML: ESAs consult on technical standards to strengthen group-wide money laundering and terrorist financing risk management

Geplaatst op 10 juni 2017 door Ellen Timmer

In a press release the ESAs made public that they are consulting on technical standards to strengthen group-wide AML and TF risk management:

ESAs consult on technical standards to strengthen group-wide money laundering and terrorist financing risk management
31 May 2017

The Joint Committee of the three European Supervisory Authorities (EBA, EIOPA and ESMA – ESAs) launched today a public consultation on draft Regulatory Technical Standards (RTS) specifying how credit and financial institutions should manage money laundering and terrorist financing (ML/TF) risks where a third country’s law prevents the implementation in their branches or majority-owned subsidiaries of group-wide policies and procedures on anti-money laundering and countering the financing of terrorism (AML/CFT).‎ These RTS are part of the ESAs’ wider work on fostering a common approach to AML/CFT and will contribute to creating a level playing field across the Union’s financial sector. The consultation runs until 11 July 2017.
Credit and financial institutions have to put in place and maintain AML/CFT policies and procedures to assess and manage effectively the ML/TF risks to which they are exposed. Where they are part of a group, these AML/CFT policies and procedures have to be applied at group-level. This can be challenging where branches or majority-owned subsidiaries are located in a third country, outside of the European Economic Area (EEA), with less stringent AML/CFT requirements.
Most third countries’ legal systems will not prevent groups from implementing group-wide AML/CFT policies and procedures that are stricter than national legislation requires. However, the implementation of a third country’s law may at times not permit the application of some or all parts of a group’s AML/CFT policies and procedures. This can be the case, for example, when the sharing of customer-specific information within the group conflicts with local data protection or banking secrecy requirements and limits a credit or financial institution’s ability to understand who their customers are. Restrictions on obtaining and processing customer data can also facilitate tax crimes, as highlighted in the context of the ‘Panama Papers’.
In such cases, credit and financial institutions must take effective steps to handle the resultant ML/TF risk. These include obtaining consent from customers to overcome restrictions on the ability to share and process customer data, carrying out enhanced reviews to be satisfied that branches and majority-owned subsidiaries in those jurisdictions are able to adequately assess and manage ML/TF risk and restricting the ability of other entities in the same group to rely on customer due diligence measures carried out by a branch or majority-owned subsidiary in those jurisdictions.

Consultation process
Comments to the draft RTS can be sent by clicking on the “send your comments” button on the EBA’s consultation page. Please note that the deadline for the submission of comments is 11 July 2017.
All contributions received will be published following the close of the consultation, unless requested otherwise.
The ESAs will hold a public hearing on the draft RTS, which will take place at the EBA premises in London on 23 June 2017 from 10:30 to 12:30 UK time.

Legal Basis
These RTS have been drafted in accordance with Article 45(6) of Directive (EU) 2015/849, which requires the ESAs to develop draft RTS that set out steps that third countries not able to implement AML/CFT policies and procedures should take to manage the resulting ML/TF risk to which they are exposed.

More information:

Geplaatst in English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft | Tags: , , | Plaats een reactie

Internetoplichting

Geplaatst op 9 juni 2017 door Ellen Timmer

Oplichting is oud als de wereld en internet biedt extra mogelijkheden. Het vervelende bij kleine aankopen is dat de schade niet in verhouding staat tot de deurwaarders- of advocatenkosten die je moet maken.

Tip: het ouderwetse fysiek ‘gelijk oversteken’ biedt nog steeds vele voordelen. En pas op met je naam, adres, bankrekeningnummer en andere persoonsgegevens.

Voor degene die genept is of wil voorkomen dat hij in de val loopt, zijn er allerlei informatiebronnen (en let op dat je niet bij weer een andere fraudeur terecht komt).

Vooraf

Als het mis is gegaan

Geplaatst in Contractenrecht, privaatrecht algemeen, ICT, privacy, e-commerce, Strafrecht | Tags: , , , , | Plaats een reactie

Wattel: “Is voorkoming van dubbele belasting een mensenrecht?”

Geplaatst op 8 juni 2017 door Ellen Timmer

Bij alle discussie over belastingontwijking moet niet worden vergeten dat er een keerzijde aan zit: namelijk die van dubbel betalen van belasting. Dat gebeurt als meerdere landen over het zelfde inkomen of vermogensbestanddeel belasting heffen.

Voorbeeld:
Een werknemer woont in Nederland en werkt in België. Als er geen belastingverdrag tussen Nederland en België zou zijn, zouden beide landen loonbelasting heffen over het salaris dat de Belgische werkgever aan de Nederlander betaalt. Nederland heft omdat iemand die in Nederland over zijn wereldinkomen belasting moet betalen. België heeft omdat er loon in dat land wordt betaald.

Die vermaledijde belastingverdragen, waar het bij het kameronderzoek onder meer over gaat, hebben tot doel om te voorkomen dat burgers, ondernemers en organisaties niet in meerdere landen over hetzelfde belasting betalen.

Over voorkoming van dubbele belasting schreef Peter Wattel onlangs een artikel voor NJBlog, “Is voorkoming van dubbele belasting een mensenrecht?

Overigens is er meer dat landen dubbel willen doen, zo is dubbele bestraffing een toenemend probleem, zie dit artikel uit 2014.

Meer informatie:

Geplaatst in Belastingrecht, Bestuurlijke sancties, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Strafrecht | Tags: | Plaats een reactie

Kameronderzoek naar internationale belastingheffing met interessante genodigden

Geplaatst op 7 juni 2017 door Ellen Timmer

Al eerder schreef ik op de site van het Compliance Platform Trustkantoren over het onderzoek van de tweede kamer naar internationale fiscale structuren.
Degenen die het onderzoek op de voet willen volgen kunnen hier het programma vinden.

Boeiend is dat er journalisten als deskundige worden opgeroepen tijdens de tweede onderzoeksdag:

  • Jan Kleinnijenhuis: economieredacteur Trouw (opgeroepen als deskundige)  en
  • Siem Eikelenboom: onderzoeksjournalist bij het Financieele Dagblad (opgeroepen als deskundige)

Ook twee vertegenwoordigers van een lobbygroep worden ingedeeld bij de deskundigen (derde onderzoeksdag):

  • Anne Scheltema Beduin: Executive director Transparency International Nederland (opgeroepen als deskundige)  en
  • Fritz Streiff: Project and Research Officer Transparency International Nederland (opgeroepen als deskundige)

Onder de opgeroepen personen bevinden zich logischerwijs diverse mensen verbonden aan trustkantoren. Maar ook een vertegenwoordiger van het belastingadvieskantoor dat recent uit de Nederlandse Orde van Belastingadviseurs is gegooid behoort bij de genodigden, alsmede de dga van het failliete Haags Juristen College.

Aangezien een aantal gehoorde personen onderwerp zijn van strafrechtelijk en bestuursstrafrechtelijk onderzoek, mag worden verwacht dat op de achtergrond een batterij aan strafjuristen meekijkt naar wat er gebeurt. Onlangs schreef een strafjurist een artikel over de risico’s voor de gehoorde personen, helaas kan ik het artikel niet zo snel meer vinden. (Als ik het weer vind voeg ik het toe.)

Dit artikel staat ook op de site van het Compliance Platform Trustkantoren.

Aanvulling 16:30 uur

Een lezer stuurde mij een link naar het artikel “Parlementaire ondervragingscommissie fiscale constructies start: rechtsbescherming broodnodig?!” van Annemarije Schoonbeek op TaxLive.

Aanvulling 8 juni 2017

Via DebatGemist van de tweede kamer kunnen de verhoren worden teruggekeken. Inmiddels zijn beschikbaar:

Geplaatst in Belastingrecht, Bestuurlijke sancties, Dienstverlening - juridisch financieel [advocaten, accountants, belastingadviseurs e.d.], Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Trustkantoren | Plaats een reactie

Privacy-proof zaken doen | privacy en arbeid

Geplaatst op 7 juni 2017 door Ellen Timmer

Privacy en de beveiliging van persoonsgegevens (security) is een onderwerp dat in deze digitaliserende tijd steeds belangrijker wordt, ook voor ondernemers en organisaties.

Daarom organiseerde Pellicaan Advocaten gisteren een kennissessie, die ik al eerder aankondigde. Belangstellenden kunnen de handouts van de sessie hier (pdf 995 kB) terugvinden. Verder is er een nieuwsbrief (688 kB) uitgebracht met specifieke aandacht voor privacy en arbeid.

Meer informatie over de juridische kant van privacy is te verkrijgen bij het privacy-team van Pellicaan Advocaten:

Gegevens zijn ook te vinden via de Pellicaan website.

 

Geplaatst in Arbeidsrecht, ICT, privacy, e-commerce | Plaats een reactie

ePrivacy verordening: studie adviseert tracking walls aan te pakken; uitgevers willen het anders

Geplaatst op 6 juni 2017 door Ellen Timmer

Onlangs is in Europese opdracht door een team van IViR Institute for Information Law een studie geschreven over het ePrivacy voorstel. Op pagina’s 8 tot en met 12 is de samenvatting te vinden, met als belangrijke kritiekpunten op het ePrivacy voorstel onder meer:

  • de ePrivacy regels inzake het volgen van de locatie zijn niet afdoende;
  • de instellingen van browsers moeten worden verbeterd, de do not track technologie (of iets vergelijkbaars) moet voor alle tracking technologieën gelden, dus ook voor ‘device fingerprinting’;
  • de zgn. ‘tracking walls’ en andere ‘take-it-or-leave-it’ keuzen moeten worden aangepakt;
  • vertrouwelijkheid van communicatie moet worden verbeterd;
  • de veiligheid van apparaten verdient extra aandacht, waarbij ook naar encryptie moet worden gekeken.

Over het thema ‘tracking walls‘ en andere ‘take-it-or-leave-it‘ keuzen staat in de samenvatting:

Tracking walls and other take-it-or-leave-it choices

On the internet, many companies offer people take-it-or-leave-it-choices regarding privacy. For instance, some websites install tracking walls (or ‘cookie walls’), barriers that visitors can only pass if they agree to being tracked. If people encounter such take-it-or-leave-it choices, they are likely to consent, even if they do not want to disclose data in exchange for using a website.

We recommend that the EU lawmaker bans tracking walls, at least in certain circumstances. A complete ban would provide most legal clarity. Under a partial ban, tracking walls are prohibited under certain circumstances (a black list). For instance, state-funded websites, sites regarding health or other sensitive information, and sites with a monopoly-like position should not be allowed to install tracking walls. The black list should be complemented with a grey list, with circumstances in which a tracking wall is presumed to be illegal. The lawmaker should also adopt rules for take-it-or- leave-it choices regarding privacy in other contexts.

Onder meer is de aanbeveling dat “sites with a monopoly-like position” geen tracking walls mogen gebruiken, kan gevolgen hebben voor de internetgiganten van deze aardbol.

Uitgevers mopperen dat de voorstellen te ver gaan, zo werd via een artikel in het FAZ bekend. Aan het artikel is de in het Engels opgestelde open brief toegevoegd.

Het laatste woord is vast nog niet gesproken en intussen denderen de digitale ontwikkelingen door.

Meer informatie:

  • StudieAn assessment of the Commission’s Proposal on Privacy and Electronic Communications” door Frederik Borgesius Frederik Borgesius, Joris van Hoboken, Kristina Irion, Max Rozendaal , Ronan Fahy.
  • FAZ artikel “Offener Brief an das Europäische Parlament“, 29 mei 2017, Duitstalig met de open brief in het Engels.

ePrivacy voorstel:

Aanvulling 20 juli 2017
Summary of the Opinion of the European Data Protection Supervisor on the Proposal for a Regulation on Privacy and Electronic Communications (ePrivacy Regulation), 20 July  2017. Ook te vinden via deze pagina. Op 14 juli jl. diende het Europees Parlement vele amendementen (nummers 706-827) in.

Geplaatst in ICT, privacy, e-commerce | Tags: , , , , , , , , | Plaats een reactie

Printercartridgeoorlog

Geplaatst op 3 juni 2017 door Ellen Timmer

Al geruime tijd is er een oorlog gaande tussen de printerfabrikanten en leveranciers van inktcartridges. Als gebruiker heb je daar last van, want als je een cartridge koopt die niet van de fabrikant van de printer komt, doet de cartridge (en soms ook de printer) het soms niet.

Uit een Engelstalig artikel van Catalin Cimpanu blijkt dat de Amerikaanse rechter een einde heeft gemaakt aan de printercartridgeoorlog. Volgens het artikel heeft de Supreme Court een stokje gestoken voor de intellectuele eigendomsrechten waarop de betreffende printerfabrikant (Lexmark) aanspraak meende te kunnen maken.

Het lijkt een interessante uitspraak, die hopelijk navolging in Europa gaat krijgen.

Meer informatie:

Mijn eerdere artikelen over printercartridges:

Aanvulling 15 oktober 2018
Zie ook mijn twitterbericht in reactie op Herbert Blankesteijn. Hij schrijft:

Als fabrikanten van #printers klanten bedriegen met software #update (die onmogelijk maakt alternatieve #inkt te gebruiken) is dat gevaarlijk: mensen leren software updates te mijden en missen verbeteringen van de #veiligheid. https://www.eff.org/deeplinks/2018/10/eff-texas-ag-epson-tricked-its-customers-dangerous-fake-update … #Epson #HP #security

 

Aanvulling 14 januari 2020
Lees dit artikel bij AGConnect: HP moet schadevergoeding betalen voor blokkeren huismerkcartridges, 20 december 2019. Overigens is mijn indruk dat printerfabrikanten gewoon doorgaan met hun blokkeringspraktijken.

Geplaatst in ICT, privacy, e-commerce | Tags: , , | Plaats een reactie

Veilige IT / BSI für Bürger

Geplaatst op 2 juni 2017 door Ellen Timmer

Degenen die behoefte hebben aan tips en Duits kunnen lezen, kunnen eens kijken op https://www.bsi-fuer-buerger.de/, een site van het Bundesamt für Sicherheit in der Informationstechniek (BSI). De site bevat veel informatie en tips, onder andere over identiteitsdiefstal en beveiligingsmaatregelen.

Zie ook “Privat bleibt privat – verschlüsselte Kommunikation mit E-Mails” van maart 2017, waarin het probleem van e-mail als volgt wordt geïntroduceerd:

Ein Alltag ohne E-Mail ist für die meisten Menschen heute kaum denkbar. Ob geschäftlich-vertragliche oder privat-vertrauliche Inhalte: Was in der elektronischen Post steht, ist nur für Sender und Empfänger bestimmt. Damit es auch dabei bleibt, sollten Nutzer für eine Verschlüsselung ihrer E-Mail-Kommunikation sorgen. Denn andernfalls könnten sensible Inhalte von Dritten ausgelesen oder manipuliert werden.

Dat bewustzijn is in Nederland nog lang niet doorgedrongen…

Geplaatst in ICT, privacy, e-commerce | Tags: , , | Plaats een reactie

Guidance by CCBE on the main new compliance measures for lawyers regarding the General Data Protection Regulation (GDPR)

Geplaatst op 1 juni 2017 door Ellen Timmer

In May of this year the Council of Bars and Law Societies of Europe (CCBE) presented guidance on compliance measures for for lawyers regarding the General Data Protection Regulation (GDPR).

With this paper the CCBE wishes to provide an overview of the main new compliance measures that Bars and Law Societies may wish to recommend in order to ensure compliance with the requirements set out in the GDPR. In the guidance document those aspects of the GDPR are highlighted that cause new or increased compliance responsibilities for, in particular, lawyers or law firms. Considering that the vast majority of European law practices are below the 250 employee threshold, the issues outlined below do not address provisions that apply to larger law firms only (for example, the requirement to have a data protection officer). Also, attention is drawn to the fact that many law firms process personal data that qualify as ‘special categories of personal data’.

More information: the document

Geplaatst in Dienstverlening - juridisch financieel [advocaten, accountants, belastingadviseurs e.d.], English - posts in English on this blog, Europa, ICT, privacy, e-commerce | Tags: , , | Plaats een reactie