Het niet-transparante microdata pleidooi van een AFM-bestuurder | financiële privacy

Geplaatst op 13 november 2024 door Ellen Timmer

Bestuurder van de Autoriteit Financiële Markten (AFM) Jos Heuvelman werd door het FD in de gelegenheid gesteld om de microdata-behoefte van de AFM te promoten.
Lees Voor modern financieel toezicht zijn data onontbeerlijk (betaalmuur).

Opvallend is dat Heuvelman niet transparant is over het feit dat de AFM en andere financiële toezichthouders al op grote schaal financiële persoonsgegevens (‘microdata’, ‘granulaire gegevens’) verwerken.

Grondrechtenafweging nodig
Privacy First heeft aan de overheidsbehoefte aan financiële persoonsgegevens aandacht besteed in de bijdrage aan een wetgevingsconsultatie in juli van dit jaar [*]. De organisatie schrijft in de aankondiging van de consultatiedeelname onder meer:

Toezichthouders zoeken naar data voor ‘machine learning’
Privacy First heeft geconstateerd dat internationale financiële samenwerkingsverbanden zoals de Bank for International Settlements (BIS) bepleiten dat financiële toezichthouders gebruikmaken van kunstmatige intelligentie (artificial intelligence, AI). Die kunstmatige intelligentie moet door middel van persoonsgegevens en andere gedetailleerde gegevens van personen en organisaties (‘granulaire data’) getraind worden. Gevolg van deze veronderstelling is dat de toezichthouders proberen aan zoveel mogelijk granulaire data te komen, waartoe de financiële persoonsgegevens van iedere burger behoren.
Privacy First vindt dat ongewenst en wijst op het advies van de Raad voor het Openbaar Bestuur (ROB) van mei 2021, bekendgemaakt via het nieuwsbericht ‘Politiek moet in actie komen om burgers te beschermen tegen uitdijende datahonger‘. De ROB bepleit een volwassen afweging van de noodzaak om persoonsgegevens aan de overheid te verschaffen, een afweging die in de voorstellen van het ministerie van Financiën ontbreekt.

Grootschalige verwerking van persoonsgegevens door AFM en DNB vindt al plaats
Daar komt nog bij dat zowel AFM als DNB al op grote schaal granulaire data verwerken. Voorbeeld zijn de persoonsgegevens die AFM verwerkt op grond van Mifid 2: weinig beleggers zijn ervan op de hoogte dat de AFM bij iedere aandelenkoop of -verkoop paspoortnummers en/of fiscale nummers en geboortedata van de betrokken belegger ontvangt. Verder ontvangt AFM van pensioenfondsen op grote schaal persoonsgegevens van burgers. DNB ontvangt persoonsgegevens bij uitvoering van het depositogarantiestelsel, onder meer adressen en telefoonnummers, en verwerkt op grote schaal persoonsgegevens in het kader van het witwasbestrijdingstoezicht. Beide toezichthouders ontvangen op grote schaal persoonsgegevens van het Centraal Bureau voor de Statistiek (CBS).

Verantwoording en grondrechtentoetsing gewenst
Privacy First stelt voor dat eerst verantwoording wordt afgelegd van de huidige verwerking van granulaire gegevens door DNB en AFM en dat vervolgens door middel van een adequate grondrechtentoetsing wordt vastgesteld of er wel redenen zijn om financiële instellingen te verplichten extra gegevens te leveren.

 

Privacy First pleit voor transparantie over de verwerking van financiële persoonsgegevens en krachtig onafhankelijk toezicht.

 

 

[*] Aangekondigd in het artikel Geen carte blanche DNB en AFM voor massale dataverwerking. De complete consultatiebijdrage is hier (pdf) te vinden.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , | Plaats een reactie

DNB wijst op digitale veiligheid – ook de identiteit van burgers moet veilig geverifieerd worden

Geplaatst op 13 november 2024 door Ellen Timmer

De Nederlandsche Bank (DNB) publiceerde vandaag het bericht Digitale veiligheid topprioriteit in grimmig geopolitiek klimaat. Het sluit aan bij de eerdere berichtgeving door DNB dat het verstandig is contant geld in huis te hebben (blog).

Veilige verificatie identiteit
Het zou mooi zijn als DNB dan ook de belangen van burgers zou mee nemen, zoals het belang dat de identiteit op een zorgvuldige wijze door financiële instellingen wordt geverifieerd. Daar vroeg Privacy First onlangs om.

 

 

Aanvulling 20 november 2024
Aanverwant is het DNB-bericht ‘Europese samenwerking cruciaal om geopolitieke risico’s het hoofd te bieden’ dat verwijst naar het rapport ‘Weerbaar in een gure wereld’.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , | Plaats een reactie

De ongeloofwaardige Nederlandse mensenrechtenpretenties en het nieuwste rapport van de Nationale Ombudsman over terroristenlijsten

Geplaatst op 13 november 2024 door Ellen Timmer

Nederland heeft internationaal grote pretenties op het gebied van mensenrechten, maar maakt dat in Nederland niet waar. Niet alleen doordat na het recente geweld tegen joden door bepaalde politici moslimhaat wordt aangewakkerd, maar ook doordat misdaadbestrijders op onzorgvuldige manier bepaalde mensen verdacht maken, ik schreef daar al over.
Lees over dat laatste het bericht van de Nationale Ombudsman: Te weinig aandacht voor mensenrechten burgers op terrorisme- en extremismelijst. De Ombudsman schreef een rapport over de terroristenlijsten die de overheid bijhoudt en waar onschuldige burgers op terecht komen, met akelige consequenties.

Het bericht van de Nationale Ombudsman:

Rechtsbescherming en onafhankelijk toezicht niet op orde
Te weinig aandacht voor mensenrechten burgers op terrorisme- en extremismelijst

Nieuwsbericht 12 november 2024

De overheid verwacht dat burgers blind vertrouwen op het veiligheidssysteem, maar stelt daar te weinig tegenover. Dit zegt Nationale ombudsman Reinier van Zutphen in zijn onderzoek naar Contraterrorisme, Extremisme en Radicalisering (CTER) registraties van burgers. Juist omdat overheidsorganisaties niet volledig transparant kunnen zijn vanwege de nationale veiligheid, moet toezicht en rechtsbescherming goed zijn georganiseerd. Dat is nu niet het geval.

Onder politieke druk begon de overheid in 2012 een lijst bij te houden van (mogelijke) uitreizigers naar jihadistisch strijdgebied. Sinds 2018 is er een landelijke aanpak. Hierbij registeren en monitoren de politie en de Koninklijke Marechaussee personen die mogelijk een dreiging voor de samenleving gaan vormen. Naast jihadisme wordt ook gekeken naar links- en rechtsextremisme. Hoewel er na 2018 de nodige verbeteringen zijn doorgevoerd, is de ombudsman kritisch over het huidige proces.

Black box
De ombudsman noemt het CTER-proces een ‘black box’. Burgers weten niet dát ze in beeld zijn en met welke instanties en landen informatie over hen wordt gedeeld. Hierdoor komt hun recht op privacy onder druk te staan. Mensen kunnen onverwachts in de problemen komen. Bijvoorbeeld als ze op vakantie het land van bestemming niet in mogen of in het buitenland vast komen te zitten. Hierdoor worden zij beperkt in hun recht op bewegingsvrijheid en in sommige gevallen kunnen zij hierdoor hun familie niet meer zien.

Burger: “Bij aankomst in Antalya werd de toegang van alleen mij geweigerd. Zij hebben mij een dag vastgehouden in een cel en zeiden dat er een ban op mijn naam staat die betrekking heeft op Interpol, waardoor zij mij het land niet in lieten gaan. De toegang tot Turkije is mij geweigerd zonder geldige reden.”

Rechtsbescherming niet op orde
Het onderzoek van de ombudsman laat zien dat het voor burgers vrijwel onmogelijk is om hun registratie aan te vechten. In reactie op hun inzageverzoek krijgen ze vaak te horen dat de gevraagde informatie niet gedeeld kan worden in verband met de nationale veiligheid. Of dat de informatie al verwijderd is. Procedures bij onafhankelijke organisaties zijn bij burgers onbekend en niet laagdrempelig. Het lukt burgers niet om een antwoord te krijgen op de vraag; wat is er nu eigenlijk gebeurd en mocht dat? Een slechte zaak, zegt Reinier van Zutphen. ‘Beslissingen van de overheid moeten navolgbaar, uitlegbaar en controleerbaar zijn.’

Individuele rechten onder druk
De burger kan er volgens de ombudsman niet blind op vertrouwen dat zijn individuele rechten en vrijheden voldoende zijn beschermd. CTER-registraties staan op gespannen voet met de individuele rechten en vrijheden van burgers. De ombudsman roept betrokken instanties op het proces op orde te brengen en het perspectief van de burger structureel mee te wegen bij de beslissingen die zij nemen.

Reinier van Zutphen: “Meer aandacht voor de rechten van de mens betekent niet automatisch minder aandacht voor de veiligheid. Alleen wanneer dit in balans is, kunnen burgers erop vertrouwen dat hun individuele rechten en vrijheden niet naar de achtergrond verdwijnen bij het beschermen van de nationale veiligheid.”

Onafhankelijk toezicht te mager
Onafhankelijk toezicht op het CTER-proces is volgens de ombudsman te mager georganiseerd. Een structurele blik van buiten ontbreekt. Het toezicht is nu vooral achteraf georganiseerd. Fouten worden pas zichtbaar nadat de gevolgen al hebben plaatsgevonden. De ombudsman roept de minister op om werk te maken van onafhankelijk en structureel toezicht. Dit toezicht zou net zo stevig moeten zijn als het toezicht op de inlichtingen- en veiligheidsdiensten. In beide gevallen gaat om het verwerken en zo nodig delen van zeer gevoelige informatie.

Oproep aan minister
De ombudsman roept de minister van Justitie en Veiligheid op om de genoemde tekortkomingen aan te pakken. Zodat toezicht en rechtsbescherming goed zijn georganiseerd en mensenrechten en nationale veiligheid met elkaar in balans zijn.

 

Bijlage
Rapport Blind vertrouwen (pdf, 13.31 MB)

 

David Davidson schreef over het rapport bij Follow the Money (betaalmuur).

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, Sanctieregels | Tags: , , , , , , , , , , | Plaats een reactie

Bureau Financieel Toezicht publiceert nieuwe informatie voor accountants, notarissen en andere juristen over de huidige witwasbestrijdingsregels

Geplaatst op 12 november 2024 door Ellen Timmer

Hoewel binnenkort de nieuwe Europese antiwitwasregels nageleefd moeten worden, publiceert de Wwft-toezichthouder Bureau Financieel Toezicht (BFT) nieuwe informatie voor accountants, notarissen en andere juristen [*].
Lees hun aankondiging.

 

De vele documenten  van BFT

Op de Wwft-pagina van BFT is een waslijst aan documenten te vinden.

Handleidingen

  • Specifieke leidraad naleving Wwft voor accountants en belastingadviseurs, administratiekantoren en alle overige instellingen genoemd in artikel 1a, lid 4, letter a en b Wwft [BFT, 24 oktober 2024]
  • Specifieke leidraad naleving Wwft voor (kandidaat en toegevoegd) notarissen en overige instellingen genoemd in artikel 1a lid 4 letter d Wwft [BFT, 24 oktober 2024]
  • Bijlage I – Voorbeelden Wwft bij subjectieve indicator [BFT, 24 oktober 2024]
  • Bijlage III – Overzicht belangrijkste wijzigingen sinds oktober 2018 [BFT, 24 oktober 2024]
  • Leidraad Financiële Sanctieregelgeving [Ministerie van Financiën, 12 augustus 2020]

De dorpsnotaris dient volgens BFT ook kennis te nemen van het FATF document Guidance for a risk-based approach: Legal Professionals en het administratiekantoor zou de Guidance for a risk-based approach: Accounting Profession moeten lezen.

Dan is er nog een hele serie door BFT geproduceerde ‘verdiepende documenten’:

  • Bijlage 1 voorbeelden Wwft bij subjectieve indicator
  • Bijlage 2 10-Stappenplan Wwft 2023
  • Bijlage 3 specifieke leidraad
  • Bijlagen Specifieke Leidraden 2024
  • Notitie crypto’s
  • Praktijkvoorbeelden zorgfraude
  • Praktijkvoorbeelden UBO’s
  • Praktijkvoorbeelden ongebruikelijke transacties notariaat en registergoederenpraktijk
  • Praktijkvoorbeelden ongebruikelijke transacties

Regelgeving
Natuurlijk mogen verwijzingen naar de regelgeving niet ontbreken:

Nederland

  • Wwft
  • Uitvoeringsbesluit Wwft 2018
  • Bijlage Indicatorenlijst
  • Uitvoeringsregeling Wwft
  • Besluit bestuurlijke boetes financiële sector
  • Prominente publieke functies (Uitwerking van artikel 2 van het Uitvoeringsbesluit Wwft 2018)
  • en de zeer antieke Richtsnoeren Identificatie en verificatie van persoonsgegevens

Vreemd genoeg worden wel infographics van de NRA’s witwassen en terrorismefinanciering vermeld maar ontbreken de NRA’s zelf. BFT lijkt onvoldoende van de Wwft op de hoogte te zijn.

Europa

  • Vijfde Europese anti-witwasrichtlijn (EU 2018/843)
  • Vierde Europese anti-witwasrichtlijn (EU 2015/849)
  • de Gedelegeerde Verordening van derde landen met een hoog risico (EU 2016/1675)
  • Europese Commissie lijst derde landen met een hoog risico

Hier ontbreekt de supranationale risk assessment (SNRA) door de Commissie.

Voorlichting
De ondernemingen onder toezicht van BFT worden verder verwezen naar indicatoren- en typologieënvoorlichting:

  • Witwasindicatoren door het Anti Money Laundering Centre
  • Witwastypologieën – FIU-Nederland

 

De hoge verwachtingen van de wetgever

De informatie van BFT laat zien dat de wetgever en de toezichthouder zeer hoge verwachtingen hebben van de accountants, boekhouders, notarissen en andere juristen onder BFT-toezicht. Daarbij moet worden bedacht dat een groot deel van de doelgroep van het BFT tot het midden- en kleinbedrijf behoort en niet beschikt over een juridische afdeling die dit soort informatie aan kan.

In de criminaliteitsbestrijding speelt het ‘doenvermogen’ van de ondernemingen aan wie overheidstaken worden uitbesteed geen rol.

 

 

[*] Uitgezonderd advocaten, zij vallen niet onder toezicht van BFT.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft | Tags: , , , , | Plaats een reactie

Hoogleraar verdragsrecht: ‘Internationale organisaties hebben niet per se het beste voor met de mensheid’

Geplaatst op 11 november 2024 door Ellen Timmer

Bij Follow the Money verscheen een interview  met hoogleraar Jan Klabbers onder de titel Hoogleraar verdragsrecht: ‘Internationale organisaties hebben niet per se het beste voor met de mensheid’. Daarin wordt Klabbers geciteerd met onder meer de opmerking dat sommige organisaties juist zijn opgezet om publieke verantwoording en democratisch toezicht te ontwijken.

Het artikel is interessant voor degenen die zich afvragen waarom criminaliteitsbestrijdingsregels (‘witwasbestrijding’) door de informele wereldregering FATF gemaakt mogen worden.

 

 

Aanvulling 10 januari 2025
Een van de wereldregeringen bestaat uit vijf Angelsaksische landen “The Five Countries”, zie het persbericht van 18 oktober 2024, te vinden op de site van de regering van het VK. Het persbericht begint met vrome woorden die voor een FATCA-slachtoffer onecht klinken:

We, the Home Affairs, Interior, Security and Immigration Ministers of Australia, Canada, New Zealand, the United Kingdom, and the United States (the ‘Five Countries’) remain steadfast in our commitment to uphold and promote shared liberal democratic values, and in working collaboratively to protect our citizens, communities, and governments from evolving national security threats in an increasingly contested world.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , | Plaats een reactie

AML Package: “the reform was of a massive size, and there are important novelties” | the European anti-money laundering lawyers’ paradise

Geplaatst op 11 november 2024 door Ellen Timmer

If you ask Dutch bankers or anti-money laundering university professors whether much will change because of the AML Package, the answer you will get is that little will change and that it is only codification/harmonisation of already known rules.

Anyone who reads the new European regulation and directives can see that those claims are not true.

My observation is confirmed by the statements of the Commissioner-designate who will be responsible for the Package.
Ms Maria Luis Albuquerque, candidate for the Financial Services and the Savings and Investments Union portfolio, said in response to questions from members of a European Parliament committee:

We have until mid-2027 to prepare the ground for the application of the new framework. We therefore have no time to lose; the reform was of a massive size, and there are important novelties that we must ensure are introduced in a coherent manner. Work needs to start now if we are to deliver.

It is worrying that very sweeping legislation is being introduced in the EU without citizens, civil society organisations, national parliaments and many others having had a chance to look at it properly. After all, these are rules that will affect every citizen and every SME.

I find it bizarre.

 

The complete text of question & answer 9

(source: Written questions and answers by Ms Maria Luis Albuquerque):

Question from the Committee on Civil Liberties, Justice and Home Affairs

9. Your mission will be to continue working on digital finance, as well as on the implementation of the new antimoney laundering package.

What steps do you envisage to take in order to assess the deployment of AI systems in the financial sector, including their compliance with the specific requirements for high-risk AI systems provided for in the AI Act (such as risk management systems or fundamental rights impact assessments)? Which priority steps do you intend to take in order to effectively implement the new AML single rulebook, in particular with regard to financial sector, but also non-financial sector as well as new powers, competences and tools provided to the Financial intelligence units in order to prevent, detect and combat money-laundering and terrorist financing?

In my mission letter, President von der Leyen has asked me to continue work on digital finance and in particular to assess the deployment of artificial intelligence (AI) in finance. If I am confirmed as Commissioner, I will work with other members of the College, and with the support of DG FISMA , the European Supervisory Authorities (ESAs) and the newly established AI Office of the European Commission, to achieve our common goals. I will of course also work closely with the European Parliament and the Council. I will, if confirmed, build on the work already done, notably recent consultations and targeted outreach aimed at seeking to gather insights from stakeholders on the current market developments as well as potential risks and barriers impeding AI uptake in the financial sector. I will also work closely with the supervisory community and the AI Office to ensure compliance with the specific requirements for high-risk AI systems outlined in the AI Act. Finally, because AI very much presents opportunities and risks at a global level, I will, if confirmed as Commissioner, work with our international counterparts such as the Financial Stability Board, the Financial Action Task Force, the Basel Committee on Banking Supervision and the Bank for International Settlements to develop globally co-ordinated solutions, respecting European values.

I believe it is of utmost importance to work with all stakeholders – be it consumers, users, providers, developers, or supervisors, and not least the European Parliament and the Council – to ensure a swift implementation of the new rules under the AI Act. The AI Act identifies consumer credit assessment and risk assessments and pricing in health and life insurance as high-risk applications, and we need to devote particular attention to the fact that AI use in these sectors meets the standards set in the AI Act. If confirmed, I will work closely with the Vice-President for Tech Sovereignty, Security and Democracy to assess the AI deployment in the financial sector. If questions arise in relation to EU financial sector legislation in terms of how it applies to AI, I will also work closely with the supervisory community to see how best to address these issues.

If confirmed, I would like to take a proactive approach to addressing the evolving landscape of AI in finance, recognising the need for a nuanced policy approach that balances innovation, seizes the opportunities and advantages it may offer with solid risk management, be it from a financial stability or fundamental rights perspective. By engaging with the co-legislators, stakeholders and fostering dialogue, I would like to create a supportive ecosystem that enables both the financial sector and financial supervisory community to harness the potential of AI while mitigating its risks.

On anti-money laundering, the package of reforms agreed under the previous mandate has the potential to bring true change in the fight against financial crime. But laws are only as good as their implementation on the ground. I fully share the goal set out in the political guidelines for this Commission to focus on better implementation and enforcement of Union rules. I believe that this should be our primary focus in the anti-money laundering field if we are to make this reform a reality and a success. If confirmed, I will closely align with the Commissioner-designate for Internal Affairs and Migration to ensure consistent approaches to our common goals of fighting organised crime. I will also ensure close cooperation between the Commission and Member States for the correct transposition of the new Anti-Money Laundering Directive, as well as open dialogue with the sectors to enable the smooth phasing-in of the requirements of the new Anti-Money Laundering Regulations.

We have until mid-2027 to prepare the ground for the application of the new framework. We therefore have no time to lose; the reform was of a massive size, and there are important novelties that we must ensure are introduced in a coherent manner. Work needs to start now if we are to deliver.

Work on implementing and delegated measures is already underway. They will set out in detail how entities in the financial and non-financial sector alike are expected to comply with important requirements. Work on the common tools and methodologies for supervising these sectors is also being prioritised. If I am confirmed as Commissioner, I will ensure that my services continue building on this momentum, through close cooperation with the European Banking Authority and national authorities. All the technical measures will be publicly consulted so that the industry can provide insights and suggestions. This process will ensure that the regulatory requirements are adequate, proportionate, and fit for purpose. Equally important for me will be the right set-up of the Anti-Money Laundering Authority.

With respect to Financial Intelligence Units (FIUs), work to harmonise how Financial Intelligence Units receive, process and exchange information has already started. Furthermore, in close cooperation with Financial Intelligence Units, the Commission is currently developing a new version of the ‘FIU.net’ secure information exchange platform. Work has also been launched for the interconnection of the national bank account registers. All those workstreams will significantly enhance the Financial Intelligence Units’ ability to swiftly exchange and analyse information and report cases to law enforcement authorities.

Looking forward, if I am confirmed as Commissioner, I will not shy away from acting decisively. Europe cannot afford to repeat the same mistakes of the past where late or incorrect measures adopted or implemented at national level jeopardised our collective ability to fight financial crime. Therefore, I intend to use all instruments for implementation and enforcement at my disposal, including prevention and infringement proceedings, to ensure the framework and our authorities deliver on our commonly agreed goals.

 

More information:

On Commissioner-delegate Maria Luis Albuquerque:

On the Commissioner-delegates in general:

 

Addition 26 November 2024
Look at the political guidelines for the new Commission and the article on eucrim on these guidelines. There is a lot of ‘security’ in it, that includes the AML Package, with a lot of optimism, like (from the article) “Fighting organised crime and dismantling high-risk criminal networks and their ringleaders” and access to confidential information: “Providing law enforcement with adequate and up-to-date tools for lawful access to digital information, while safeguarding fundamental rights” (= breaking encryption). The public authorities are entitled to sucure communication: “Developing a new European Critical Communication System to be used by public authorities in charge of security and safety“, while citizens have to cope with insecure e-mail and messaging that can be read along by the authorities.

Geplaatst in English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , , | 1 reactie

Privacy First besteedt aandacht aan FATCA – als eerste algemene burgerrechtenorganisatie

Geplaatst op 11 november 2024 door Ellen Timmer

Vandaag plaatste Privacy First het artikel Zorgt nieuw regime VS voor einde aan financiële discriminatie van Europeanen? op haar site. In dat artikel vraagt zij aandacht voor de problematiek van de internationale uitwisseling van financiële persoonsgegevens.
Daarmee is zij de eerste algemene privacy organisatie die dat doet. Op dit terrein zijn nl. diverse gespecialiseerde clubs actief, zoals de Nederlandse Accidental Americans, de Franse vereniging van Accidental Americans, de Association des Américains Accidentels (AAA), die in heel de EU actief is (zie ook twitter / linkedin) en Tax Fairness for Americans Abroad, ook actief op linkedin.

Het bericht van Privacy First (er is ook een Engelstalige versie):

Zorgt nieuw regime VS voor einde aan financiële discriminatie van Europeanen?

Wat is de toekomst van Amerikaanse wetgeving die Europese burgers met de Amerikaanse nationaliteit schaadt?

Niet veel mensen weten dat Nederlandse bedrijven en de Nederlandse overheid op steeds grotere schaal financiële persoonsgegevens uitwisselen met buitenlandse overheden, bijvoorbeeld over banksaldi en transacties. Aan die uitwisseling zijn allerlei risico’s verbonden.

Privacy First besteedt hier aandacht aan omdat ook met financiële persoonsgegevens – bijvoorbeeld saldi van bank- en spaarrekeningen en gegevens over betalingen – zorgvuldig moet worden omgegaan. Nederlandse burgers mogen van hun overheid verwachten dat hun financiële persoonsgegevens alleen aan andere landen worden verstrekt als daar goede redenen voor zijn.

Grondslagen voor gegevensverstrekking

Het kan legitiem zijn dat bijvoorbeeld banken gegevens aan de Nederlandse overheid verstrekken ten behoeve van een buitenlandse overheid. Het is te vergelijken met de financiële gegevens over werknemers die een Nederlandse werkgever aan de Belastingdienst verstrekt, op basis waarvan de fiscus de aangifte van de werknemer kan voorbereiden en controleren. Op dezelfde manier heeft de Duitse overheid een belang om van de Nederlandse Belastingdienst te horen dat een inwoner van Duitsland een bankrekening in Nederland heeft.

De internationale uitwisseling van financiële persoonsgegevens die plaatsvindt ten behoeve van  belastingheffing en misdaadbestrijding is gebaseerd op allerlei verdragen en internationale afspraken. Opvallend aan die regelingen is dat daarin aan de positie van de burger weinig aandacht wordt besteed.

Maar het gaat niet altijd goed: FATCA

De meeste Nederlanders merken weinig van de internationale uitwisseling, maar er is één groep die er wel last van heeft: mensen die in de Verenigde Staten (VS) geboren zijn. Iedereen die in de VS is geboren, ook al is hij of zij kort na zijn/haar geboorte met zijn/haar ouders naar Nederland verhuisd, is verplicht in de VS belastingaangifte over het wereldinkomen te doen. Het maakt daarbij niet uit dat er geen inkomsten uit de VS of vermogen in de VS is. Ook als de in de VS geboren Nederlander geen enkele relatie met de VS heeft, heeft hij/zij die verplichting.

Dat klinkt vreemd en dat is het ook.

In het internationale belastingrecht is gebruikelijk dat je inkomstenbelasting betaalt in het land waarin je je salaris verdient en dat inkomsten uit vastgoed worden belast in het land waarin het vastgoed ligt. Het land waarvan je fiscaal inwoner bent mag je verzoeken om over het wereldinkomen aangifte te doen, dit wordt ook wel ‘residence-based taxation’ genoemd. Als dat wereldinkomen uit andere landen komt dan het land waarvan je inwoner bent, is er meestal een belastingverdrag met Nederland en wordt er met de buitenlandse belastingheffing rekening gehouden. (Dit gaat niet altijd goed: dan is er dubbele belastingheffing.)

Het afwijkende belastingsysteem van de VS

De VS is het enige land ter wereld dat belastingheffing over het wereldinkomen gebaseerd op nationaliteit kent: ‘citizenship-based taxation’. Gevolg van dit systeem is dat iemand die in Nederland woont en de Nederlandse nationaliteit heeft, maar in de VS is geboren, in twee landen aangifte over het wereldinkomen moet doen, namelijk zowel in Nederland als in de VS. Vervolgens moet deze Nederlander proberen via het verdrag dat Nederland met de VS heeft gesloten dubbele belasting te voorkomen, iets wat niet altijd lukt. Nog lastiger wordt het als er inkomsten zijn uit andere landen dan Nederland of de VS, omdat het dan de vraag is of de betreffende belastingverdragen dubbele belasting voorkomen.

Tot omstreeks 2013 merkten gewone Nederlanders nog weinig van dit Amerikaanse systeem. Dit werd echter anders doordat de VS een nieuwe wet aannam, de Foreign Account Tax Compliance Act (‘FATCA’). FATCA verplicht financiële instellingen over de hele wereld om aan de Amerikaanse belastingdienst (IRS) financiële persoonsgegevens te verstrekken over al hun klanten met de Amerikaanse nationaliteit. Op 18 december 2013 is Nederland een verdrag met de VS aangegaan over de naleving door Nederland van FATCA (‘FATCA-verdrag’). Op grond van dit verdrag moeten Nederlandse financiële instellingen de persoonsgegevens van Nederlanders met de Amerikaanse nationaliteit leveren aan de Belastingdienst, die de gegevens vervolgens doorlevert aan de IRS.

Nog lastiger is de positie van de vele Nederlanders die in de VS zijn geboren en kort na geboorte de VS hebben verlaten. Zij hebben vaak geen Amerikaans BSN (SSN) en kwamen er pas door vragen van hun bank achter dat zij een aangifteplicht in de VS hebben, ook al hebben ze daar geen belastbare inkomsten of vermogen. Deze mensen worden wel ‘accidental Americans’ of ’toeval-Amerikanen’ genoemd. Sommigen van hen kregen te maken met een bank die probeerde de relatie te beëindigen, een voorbeeld daarvan is de man die hierover procedeerde tegen de Volksbank.[1]

Nederlanders met de Amerikaanse nationaliteit kennen nog meer problemen, zo moeten ze alle bankrekeningen waarop ze tekenbevoegd zijn aan de Amerikaanse autoriteiten opgeven (‘Report of Foreign Bank and Financial Accounts (FBAR)‘). Financiële instellingen in Nederland moeten als hun klant de Amerikaanse nationaliteit heeft op veel financiële producten, onder meer beleggingen, het Amerikaanse financiële recht toepassen, waartoe maar weinig instellingen bereid zijn.

Praktisch heeft de manier waarop de VS haar staatsburgers behandelt tot gevolg dat Nederlandse financiële instellingen weigeren diensten te verlenen aan mensen met de Amerikaanse nationaliteit (uitzonderingen daargelaten) en dat vele financiële producten voor hen niet toegankelijk zijn.

Het is bij de Amerikaanse overheid bekend dat hun belastingsysteem internationaal afwijkend is en tot onredelijke resultaten leidt. Hierover is onder andere een vernietigend rapport door de Taxpayer Advocate Service uitgebracht.[2]

Daarbij moet worden opgemerkt dat afstand doen van de Amerikaanse nationaliteit door de VS moeilijk is gemaakt en heel duur is. Voor gewone Nederlanders met de Amerikaanse nationaliteit is het geen haalbare kaart, als ze het al willen.

Bezwaren van burgers

Zowel in Nederland als daarbuiten wordt bezwaar gemaakt tegen het onredelijke optreden van de VS.

Sinds een groot aantal jaren is een actiegroep ‘Nederlandse Accidental Americans’ (zie https://accidentalamericans.nl/) actief, die probeert aandacht te vragen voor de problemen van de toeval-Amerikanen. Zij zijn van mening dat de Nederlandse overheid niet hoort mee te werken aan citizenship-based taxation, aangezien dat de grondrechten van inwoners van Nederland schendt en in strijd is met onder meer de AVG (GDPR) en het Handvest van de grondrechten van de EU. Deze groep wordt door Privacy First gesteund.

Ook elders in de EU zijn er groepen actief en tijdens de recente presidentsverkiezingen in de VS is door die groepen aandacht gevraagd voor de problemen die citizenship-based taxation veroorzaakt. De toekomstige president Trump heeft tijdens zijn campagne meegedeeld dat hij een einde zal maken aan dubbele belastingheffing [3], al is nog niet bekend wat dit concreet inhoudt.

Standpunt Privacy First

Stichting Privacy First is van mening dat overheden en financiële instellingen de grondrechten van burgers dienen te respecteren, wat onder meer inhoudt dat er geen financiële persoonsgegevens (zoals bankrekening informatie) mogen worden uitgewisseld als daar geen legitieme reden en noodzaak voor is. Immers, financiële persoonsgegevens kunnen misbruikt worden en dataminimalisatie is de beste beveiliging.

Hoewel uitwisseling van gegevens voor de belastingheffing en misdaadbestrijding nuttig kan zijn, moet wel goed worden gekeken of de onderbouwing klopt en of de waarborgen voor burgers adequaat zijn.

Citizenship-based taxation / FATCA

Voor de Amerikaanse regelgeving waarmee inwoners van Nederland geconfronteerd worden betekent dit in de optiek van Privacy First het volgende:

  1. De Nederlandse overheid mag slechts financiële persoonsgegevens verschaffen aan andere landen, als het belastingsysteem van dat andere land voldoet aan de eisen die in het Europees Handvest en de AVG (GDPR) worden gesteld aan inbreuken op de privacy en het eigendomsrecht. Dat betekent dat de inbreuk noodzakelijk moet zijn op grond van door de EU erkende doelstellingen van algemeen belang. Daar voldoet het Amerikaanse systeem van citizenship-based taxation niet aan nu het internationaal afwijkend is en niet valt in te zien waarom iemand die niet in de VS woont daar over het wereldinkomen belasting zou moeten betalen, zodat die gegevensverschaffing in strijd is met de openbare orde. Gegevensverschaffing op grond van residence-based taxation is conform het internationale gebruik en betekent dat louter informatie afkomstig van Nederlandse financiële instellingen aan de VS kan worden verschaft over personen die fiscaal inwoner van de VS zijn.
  2. Inwoners van Nederland horen geen FBAR-verplichtingen te hebben, al helemaal niet als het gaat om rekeningen die niet van hen zijn.
  3. De VS dient een einde te maken aan extraterritoriaal werkende financiële regelgeving, die ertoe leidt dat Nederlandse financiële instellingen geen diensten willen verlenen aan inwoners van Nederland met de Amerikaanse nationaliteit. Het is belangrijk dat de Nederlandse regering en de Europese Unie daar bij de VS op aandringen en beschermende maatregelen ten behoeve van hun inwoners nemen die financiële inclusie bevorderen.

Als verschaffing van financiële persoonsgegevens aan de VS is toegestaan zoals hierboven onder 1. vermeld, horen daar wel waarborgen bij:

  1. De gegevensuitwisseling dient aan de hoogste standaarden van cybersecurity te voldoen. Privacy First heeft vernomen dat de Amerikaanse overheid daar niet aan voldoet en dat er regelmatig ernstige datalekken zijn.
  2. Voorts behoort de persoon wiens gegevens aan de VS worden verschaft daarover in detail door de verschaffer (de Belastingdienst) te worden geïnformeerd, zodat hij of zij in de gelegenheid is om na te gaan of de financiële persoonsgegevens juist zijn en deze kan corrigeren. (De huidige praktijk is dat bij uitwisseling van financiële persoonsgegevens de burger noch door de financiële instelling, noch door de Belastingdienst wordt geïnformeerd.)
  3. In het ontvangstland – hier de VS – hoort een volwaardige rechtsbescherming inzake de internationale gegevensverstrekking te bestaan die op laagdrempelige wijze in Nederland kan worden gerealiseerd, bijvoorbeeld via de Amerikaanse ambassade. Daarvan is momenteel geen sprake.

Tot slot

Privacy First zal de komende tijd aandacht vragen voor het respecteren van de grondrechten van burgers bij internationale uitwisseling van financiële persoonsgegevens.

Heeft u ervaringen met die uitwisseling of kunt u ons met uw deskundigheid of uw donatie steunen, dan horen wij dat graag!

[1] Zie Volksbank mag rekeningen ‘onbedoelde Amerikaan’ niet sluiten https://www.rechtspraak.nl/Organisatie-en-contact/Organisatie/Rechtbanken/Rechtbank-Midden-Nederland/Nieuws/Paginas/Volksbank-mag-rekeningen-onbedoelde-Amerikaan-niet-sluiten.aspx.

[2] Meer informatie in het Taxpayer Advocate Annual Report to Congress 2023 https://www.taxpayeradvocate.irs.gov/reports/2023-annual-report-to-congress/.

[3] Lees bij Tax Fairness for Americans Abroad het artikel American citizens abroad are victims of a lot more than double taxation https://www.taxfairnessabroad.org/blog/american-citizens-abroad-are-victims-of-a-lot-more-than-double-taxation. Uit een ander bericht https://www.taxfairnessabroad.org/blog/presidential-candidates-finally-recognize-issues-plaguing-americans-abroad blijkt dat ook de Democratische kandidaat bereid is om maatregelen te nemen.

Geplaatst in Bankrekening krijgen en behouden, Belastingrecht, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , | Plaats een reactie

Enhancing Fundamental Rights Protection. Proposals for Ex Ante Review of EU Legislation (PEARL)

Geplaatst op 10 november 2024 door Ellen Timmer

On Verfassungsblog the article Enhancing Fundamental Rights Protection was published.

Gambardella, Ilaria, Ghysels, Tatiana, Kappé, Marleen, Lemmer, Sophie-Charlotte, Lorans, Yann, Lympikis, Alexandros; Słowik, Alicja: Enhancing Fundamental Rights Protection: Proposals for Ex Ante Review of EU Legislation (PEARL), VerfBlog, 2024/11/04, https://verfassungsblog.de/enhancing-fundamental-rights-protection/, DOI: 10.59704/ce251a0cb7a55cb0.

Geplaatst in English - posts in English on this blog, Europa, Grondrechten | Plaats een reactie

Contant betalen wordt actief ontmoedigd

Geplaatst op 9 november 2024 door Ellen Timmer

Hoewel contant geld in het Nederlandse noodpakket zit, wordt contant betalen door de overheid actief ontmoedigd.

Beperking contante betalingen vanaf 3000 euro
Zo is recent een wetsvoorstel aangenomen dat bepaalt dat betalingen van meer dan 3000 euro verboden zijn. Lees over de beperking van contant betalen in de media onder meer:

Een belangrijke reden voor ondernemers om geen contant geld te accepteren is de houding van banken, die op grond van de criminaliteitsbestrijdingsregels contante betalingen per definitie als een hoog risico op crimineel geld (‘witwassen’) moeten aanmerken. Het wetsvoorstel doet daar niets aan.

Acceptatieplicht voor kleinere betalingen
Op verzoek van de Tweede Kamer wordt door het ministerie van Financiën gekeken naar een acceptatieplicht voor kleinere betalingen. Op 21 oktober is advies gevraagd aan de ECB inzake acceptatieplicht van contant geld. Op 23 oktober werd de brief van de minister van Financiën over dit onderwerp bekend, waarin onder meer het volgende staat (noten verwijderd):

Bij de stemmingen over het voorstel voor de Wet plan van aanpak witwassen heeft de Tweede Kamer het amendement-Dijk/Flach over een acceptatieplicht voor contant geld bij kleine betalingen aangenomen. (…)
Ook ik vind het van groot belang dat contant geld breed geaccepteerd blijft aan de toonbank. Veel mensen zijn afhankelijk van het gebruik van contant geld, omdat zij moeite hebben met elektronische vormen van betalen. Daarnaast is er een groep mensen die liever contant betaalt of de mogelijkheid wil hebben om dat te doen. Verder is contant geld de belangrijkste terugvaloptie bij verstoringen in het elektronische toonbankbetalingsverkeer. Een acceptatieplicht draagt bij aan die belangen en moet tegelijkertijd proportioneel en uitvoerbaar zijn voor toonbankinstellingen. (…)

In beginsel zou die acceptatieplicht er moeten komen, maar wel met wat uitzonderingen, waarover nog wordt gediscussieerd. De brief eindigt met:

Contant geld dient belangrijke maatschappelijke belangen en moet daarom breed geaccepteerd worden. De door de Tweede Kamer voorgestelde acceptatieplicht roept een aantal uitwerkingskwesties op. Daarom heb ik het amendement voor advies voorgelegd aan de ECB en ben ik begonnen met de voorbereidingen voor een uitvoeringsbesluit, zodat de voorgestelde acceptatieplicht zo spoedig mogelijk in werking kan treden, mocht uw Kamer het wetsvoorstel aannemen.

Lees hierover ook de media, onder meer Accountancy Vanmorgen.

Geplaatst in Bankrekening krijgen en behouden, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , | Plaats een reactie

Rijksoverheid adviseert om contant geld in huis te hebben | contante betaling bij DNB en NCTV

Geplaatst op 8 november 2024 door Ellen Timmer

De Nederlandsche Bank (DNB) signaleert in dit artikel dat de cyberrisico’s in de financiële sector toenemen:

Cyberrisico’s nemen toe
Cyberincidenten vormen een toenemende dreiging voor de samenleving en de financiële sector. Dit komt mede door digitalisering en door geopolitieke spanningen. Cyberaanvallen komen niet alleen van criminele hackersgroepen, maar ook van andere landen. Bovendien neemt de complexiteit in het cyberlandschap toe, mede door de opkomst van kunstmatige intelligentie (AI). AI biedt kansen, bijvoorbeeld in de strijd tegen cyberaanvallen, maar tegelijkertijd maken ook hackers gebruik van AI, om vaker en geavanceerder aanvallen uit te voeren.

Vitale processen
Daar komt bij dat de financiële sector kwetsbaar is voor incidenten bij andere partijen. Dit is een gevolg van de uitbesteding van diensten als cloudopslag aan een kleine groep externe leveranciers. Ook de afhankelijkheid van telecomdiensten voor vitale processen speelt een rol. Tegenwoordig raakt een kwart van de wereldwijde cyberaanvallen de financiële sector. Dit kunnen directe aanvallen op financiële instellingen zijn, of indirecte dreigingen via externe partijen of leveranciers. Het is belangrijk dat financiële instellingen deze kwetsbaarheden goed doorgronden, informatie delen om cyberrisico’s te beperken en crisismaatregelen voorbereiden. Ook moet de samenleving zich realiseren dat een cyberaanval de financiële dienstverlening in extreme situaties tijdelijk plat kan leggen.

Er wordt verwezen naar een inleiding waarin het onderwerp nog iets uitvoeriger wordt besproken:

Cyberrisico’s voor de Financiële Stabiliteit

Mede als gevolg van geopolitieke spanningen neemt de cyberdreiging voor de Nederlandse economie en financiële sector toe. Sommige landen voeren geavanceerde cyberaanvallen uit, zoals recentelijk ook duidelijk werd bij de hack van de Nationale Politie. Hoewel deze hack de financiële sector niet trof, legde hij wel de kwetsbaarheden in de maatschappij van een steeds verdergaande digitalisering bloot.

Tegenwoordig raakt een kwart van de cyberaanvallen wereldwijd de financiële sector. Dit kunnen directe aanvallen op financiële instellingen zijn, of indirecte dreigingen via externe partijen waar financiële instellingen veel gebruik van maken, zoals te zien is in deze infographic.

Zo kan een aanval op een derde partij – zoals een telecomprovider – de diensten van een financiële instelling tijdelijk stil leggen, waardoor ook andere financiële instellingen hier last van krijgen. Daarnaast kan een verstoring van de dienstverlening het vertrouwen in de financiële sector als geheel schaden.

Vandaag wil ik stilstaan bij drie kwetsbaarheden, die het risico vergroten dat een geslaagde cyberaanval het financiële stelsel verstoort.

Allereerst is er een toenemende complexiteit in het cyberlandschap, mede als gevolg van de opkomst van artificiële intelligentie (AI). AI biedt onmiskenbaar kansen, maar maakt cyberaanvallen ook frequenter en geavanceerder.

Ten tweede is er concentratierisico doordat financiële instellingen diensten uitbesteden aan een kleine groep partijen. Problemen bij één dienstverlener kunnen meerdere financiële instellingen raken. Denk aan het incident bij softwarebedrijf Crowdstrike afgelopen zomer. Hoewel dit incident werd veroorzaakt door een programmeerfout, illustreert het de risico’s van toenemende concentratie en digitale afhankelijkheden.

Ten slotte vormen vitale processen voor Nederland en de financiële sector, zoals telecommunicatie en de energievoorziening, een strategisch doelwit voor cyberaanvallers.

Alle financiële instellingen beschikken over een solide operationeel risicomanagementbeleid. De financiële sector ziet cyberrisico’s momenteel dan ook als één van de toprisico’s. Maar de kans en impact van een cyberaanval zijn helaas niet volledig af te dekken. Daarom wil ik benadrukken dat veerkracht van belang is. Financiële instellingen moeten crisismaatregelen voorbereiden en testen, maar ook als maatschappij moeten we ons realiseren dat dit risico niet volledig kan worden weggenomen.

In november verschijnt er een DNB studie die dieper ingaat op de micro-prudentiële aspecten van cyber-risico’s als gevolg van geopolitieke spanningen. Voor het DNB-toezicht zullen geopolitieke risico’s de komende jaren een speerpunt zijn.

 

Advies NCTV

De Nationaal Coördinator Terrerismebestrijding en Veiligheid (NCTV) schrijft in het bericht Rijksoverheid biedt informatie n.a.v. toegenomen dreiging dat door sabotage en storingen het digitale betalingsverkeer kan stagneren en verwijst naar informatie over een noodpakket, waarin onder meer wordt geadviseerd te zorgen dat er contant geld in huis is:

 

Dit wordt nader toegelicht in het onderdeel over elektronisch betalen, zie ook het onderdeel over uitval van elektronische communicatie.

Lees over de adviezen van NCTV ook security.nl.

 

Aanvulling 13 november 2024
DNB publiceerde vandaag het bericht Digitale veiligheid topprioriteit in grimmig geopolitiek klimaat.

Geplaatst in Financieel recht, onder meer Wft, Wtt, ICT, privacy, e-commerce | Tags: , , , , , , | 2 reacties