The EBA announced ‘EBA launches 2024 EU-wide transparency exercise‘. It’s humour, announcements like this are never about the announcer’s own transparency. It’s always about others.
According to the announcement:
this year’s transparency exercise will offer preliminary and valuable insights into the health and resilience of Europe’s banking sector. The results will be published at the end of November, together with the release of the Risk Assessment Report (RAR)
De Amerikanen willen alles weten van alle Europeanen, dat is al lange tijd het geval en het wordt steeds indringender.
Statewatch rapporteert [1]:
Amerikaanse autoriteiten eisen directe toegang tot databases van EU-lidstaten voor “routinematige screening van reizigers” in ruil voor blijvend visumvrij reizen naar de VS. De eisen vallen buiten de bestaande overeenkomsten tussen de EU en de VS over de uitwisseling van persoonsgegevens.
In het artikel wordt gemeld dat de Amerikanen hier al een tijdje mee bezig zijn en dat ze ook toegang willen tot biometrische gegevens [2]. Op de verlangens van de VS wordt in gegaan in een document opgesteld voor de Europese Raad, dat door Statewatch ter beschikking wordt gesteld [3]. De opstellers van het document verwachten dat als men aan de Amerikanen wil tegemoet komen, er een nieuw verdrag nodig is, als het gevraagde op grond van Europees recht al mogelijk zou zijn.
Statewatch meldt dat er een ‘proof-of-concept’ oefening door de Europese Commissie gaande is, maar dat het verzoek om nadere informatie door de Europese Commissie is afgewezen.
Het zal interessant zien of wat de VS wil überhaupt wel mag op grond van Europees recht.
Noten:
[1] In het artikel New EU-US agreement for “systematic exchange” of personal data under consideration. Het citaat is een machinevertaling van: “US authorities are demanding direct access to EU member state databases for “routine traveller screening” in return for ongoing visa-free travel to the US. The demands fall outside the scope of existing EU-US agreements on the exchange of personal data.“.
[2] Onder verwijzing naar dit artikel.
[3] Een document van 8 juni jl., verzonden aan het Permanent Representatives Committee, gemaakt onder verantwoordelijkheid van het Belgische voorzitterschap, getiteld ‘Enhanced Border Security Partnership (EBSP) – Way forward‘.
Doctorow wrote in this article:
Crypto isn’t “money” (…)
There’s almost nothing that can only be purchased with crypto. You can procure illegal goods and services in the mistaken belief that this transaction will be durably anonymous, and you can pay off ransomware creeps who have hijacked your personal files or all of your business’s data (…)
As a political matter, “crypto” is a shorthand for “allowing scammers to steal from working people,”
and much more on crypto. After reading the article, you don’t want crypto currency.
Eerder vandaag meldde ik dat Privacy First in een brief aan de commissie Financiën van de Tweede Kamer aandacht heeft gevraagd voor de gewijzigde regels die er aan komen voor de non-profit.
In dat kader schreef Privacy First over het onbegrip dat het ubo-gebeuren oplevert bij mensen in de non-profit en noemde daarbij vereniging Vrijbit:
Zoals u weet zijn er veel non-profit stichtingen en verenigingen die niet begrijpen waarom zij hun bestuurders als “pseudo-UBO” moeten inschrijven, terwijl die bestuurders al in het handelsregister staan en geen eigendomsbelang hebben.
Een goed voorbeeld is vereniging Vrijbit, die probeert te ageren tegen verplichte UBO-registratie, lees bijvoorbeeld hun artikel Stand van zaken Vrijbit verzet tegen registratieplicht van niet-belanghebbenden in het Ultimate Beneficial Owners (UBO)register 6 waarin zij onder meer schrijven:
Vanuit Burgerrechtenvereniging Vrijbit wordt van meet af aan actie gevoerd tegen de op 27 maart 2022 van kracht geworden verplichte UBO registratie van pseudo/fake belanghebbenden.
Reden
De UBO wet is op 27 maart 2022 van kracht geworden en heeft onacceptabele gevolgen voor alle niet-belanghebbende bestuursleden van alle stichtingen en verenigingen met rechtsbevoegdheid. Ook als zij absoluut geen enkel financieel belang hebben moeten zij zich volgens de Nederlandse wetgever registreren in dit Ultimate Beneficial Owners register als zouden zij wèl belanghebbend zijn. Omdat de overheid op deze manier van burgers, die geen enkel financieel belang hebben bij hun deelname aan een organisatie, eist dat zij in feite zich met onjuiste/fake gegevens moeten laten registreren in een systeem wat gebaseerd is op preventieve verdenking.Bovenstaand citaat geeft goed aan hoe veel non-profit organisaties de UBOverplichtingen beleven. Het zal voor hen niet beter worden, nu de UBO-regels door het AML Package ingrijpend gaan veranderen, onder meer voor stichtingen.
Vrijbit heeft een beslissing van de Autoriteit Persoonsgegevens ontvangen naar aanleiding van de bezwaren die Vrijbit heeft tegen het ubo-register. Daartegen is door Vrijbit beroep ingesteld.
Ik vind de klachten van Vrijbit zeer begrijpelijk.
Het zou daarom prettig zijn als leden van de Tweede Kamer deze door Privacy First voorgestelde vraag stellen aan de minister van Financiën:
Kunt u toelichten waarom het bij non-profit organisaties (stichtingen en verenigingen) nodig is dat via de merkwaardige ‘terugvaloptie’ bepaling (artikel 63 leden 4 en 5 AMLR) een pseudo-UBO wordt aangewezen, terwijl statutair bestuurders en toezichthouders al in het handelsregister zijn ingeschreven?
Ook een antwoord op deze vragen zou fijn zijn voor de non-profit:
Kunt u aangeven welke andere consequenties het AML Package heeft voor non-profit organisaties in de vorm van een stichting of vereniging of kerkgenootschap?
Is het tijd geworden om in Nederland een aparte rechtsvorm voor non-profit organisaties tot stand te brengen, nu de stichting besmet is geraakt met het trust-virus en daardoor onbruikbaar is geworden voor non-profit doeleinden?
Verder ben ik heel nieuwsgierig naar het antwoord op de vraag waarom de stichting is gelijk gesteld aan de express trust en om die reden een hele waslijst aan ubo’s moet opgeven.
Burgerrechtenorganisatie Privacy First schreef een brief aan de commissie Financiën van de Tweede Kamer naar aanleiding van het ubo-register wetsvoorstel dat binnenkort in de commissie wordt behandeld. Onderstaand het nieuwsbericht dat zij vandaag uitbrachten:
23 september 2024
In een brief aan de commissie Financiën heeft Stichting Privacy First de Tweede Kamer verzocht om niet akkoord te gaan met het voornemen van de regering om het register van uiteindelijk belanghebbenden (UBOs), het UBO-register, de facto openbaar te maken. Aanleiding voor het schrijven van de brief is dat het wetsvoorstel tot wijziging van de toegang tot het UBO-register binnenkort wordt behandeld in deze commissie.
Verder heeft Privacy First van de gelegenheid gebruikgemaakt om de commissie Financiën er op te attenderen dat in de nieuwe Europese regels inzake UBO en UBO-register de non-profit stichting ten onrechte gelijk wordt gesteld met de Angelsaksische trust. Dit is disproportioneel en heeft onaanvaardbare consequenties.
In de brief wijst Privacy First erop dat het UBO-register een bron van zorgen is voor mensen die betrokken zijn bij rechtspersonen en andere entiteiten die in het Handelsregister zijn ingeschreven. Dat komt ook omdat het begrip ‘UBO’ zeer ruim is gedefinieerd, waardoor vele mensen zonder economisch belang bij een rechtspersoon of entiteit in dat register terechtkomen.
De regering heeft zich in het wetsvoorstel nog niet uitgelaten over de vraag welke private partijen precies op grond van ‘legitiem belang’ toegang zullen krijgen tot het UBO-register. Privacy First vreest dusdanig laagdrempelige en grootschalige toegang tot het UBO-register, dat dit register de facto openbaar wordt. Dit nadat het Europees Hof van Justitie enkele jaren geleden juist (in een door Privacy First gesteunde zaak) had bepaald dat een openbaar, breed toegankelijk UBO-register in strijd is met het Europees privacyrecht.
Het wetsvoorstel is ingediend op 25 juni jl., kort nadat nieuwe Europese antiwitwaswetgeving in het Europese staatsblad is verschenen (19 juni jl.). Dat betekent dat er vanuit mag worden gegaan dat door middel van dit wetsvoorstel de nieuwe toegangsregels zoals opgenomen in de op 19 juni bekend gemaakte Europese antiwitwasrichtlijn [*] geïmplementeerd zullen worden.
In de richtlijn is opgenomen dat degenen die een “legitiem belang” hebben gedurende drie jaar toegang tot alle gegevens in het UBO-register zullen verkrijgen. Degenen die op basis daarvan toegang krijgen worden niet op integriteit getoetst en strafbaarstelling van misbruik en andere waarborgen ontbreken in de richtlijn.
De bezwaren tegen de richtlijn gelden ook voor het door de regering ingediende wetsvoorstel. Privacy First hoopt dat de Tweede Kamer aandacht zal besteden aan het respecteren van de grondrechten van UBO’s. Privacy First heeft daartoe een groot aantal vragen over het wetsvoorstel en de nieuwe toegangsregels van de nieuwe Europese antiwitwasrichtlijn geformuleerd.
In de nieuwe Europese antiwitwaswetgeving is bepaald dat alle stichtingen vergelijkbaar worden geacht met de express trust [**]. Dit heeft tot gevolg dat er een zeer groot aantal personen betrokken bij stichtingen in het UBO-register moet worden ingeschreven, onder meer oprichters, bestuurders, toezichthouders, begunstigden en topfunctionarissen. Een onderbouwing van de noodzaak om alle stichtingen aan te merken als hoog risico entiteiten (zoals de Angelsaksische trusts kennelijk zijn) ontbreekt.
Ernstig is dat ook topfunctionarissen, dat wil zeggen werknemers met uitvoerende functies die verantwoordelijk zijn voor, en aan het bestuur verantwoording afleggen voor, de dagelijkse leiding van de entiteit, tot ‘UBO’ worden gebombardeerd.
Ook over dit onderwerp heeft Privacy First een groot aantal vragen geformuleerd.
Privacy First heeft begrip voor de wens van de Europese en Nederlandse wetgever om misdaad te bestrijden. Dat betekent echter niet dat op willekeurige wijze grondrechten van burgers die bij goede doelen actief zijn ondergraven mogen worden.
Lees HIER de gehele brief (met concept-Kamervragen in bijlagen) van Privacy First aan de Tweede Kamer (pdf).
[*] Richtlijn (EU) 2024/1640 d.d. 31 mei 2024.
[**] Artikel 57 lid 1 van Verordening (EU) 2024/1624 d.d. 31 mei 2024.
The European Parliamentary Research Service (EPRS) in July published a study on neuroprivacy, ‘The protection of mental privacy in the area of neuroscience – Societal, legal and ethical challenges‘, introduced as follows:
Advances in (neuro)technological development have led to an increase in the use and accessibility of neurotechnologies (NT), allowing brain activity to be recorded, analysed and manipulated by neurotechnological devices. While they were originally used only for clinical purposes, they are becoming more and more attractive for healthy populations willing to enhance their cognitive or physical abilities. Consumer-grade devices can be acquired and used by lay persons without supervision in work, education and entertainment environments. This state of affairs raises a multitude of open questions and the possibility of threats to data security and privacy, as well as neuropsychological, ethical and societal implications. As a result, the Neurorights Foundation (NRF) was formed in 2017 to investigate and discuss these questions and make them visible to the public. This study addresses the NRF’s claims and suggestions and evaluates the need for their proposed ‘neurorights’. Disciplinary evaluations of the issues at stake are followed by recommendations and policy options.
The documents:
In June the European Data Protection Supervisor (EDPS) presented an issue of EDPS TechDispatch on the subject of neurodata: html version, pdf version.
The conclusion is as follows (footnote removed):
Neurodata processing, a form of personal data processing, promises to enable new ways of interacting with the physical and digital world, enhancing human capabilities and experiences.
Neurotechnologies, once confined to healthcare or security, are now being directly sold to consumers, marking a significant shift in accessibility, but also in harmfulness. This accessibility, coupled with the power of Artificial Intelligence to combine data from various sources, is paving the way for discovering patterns or trends in the data these neurotechnologies collect and manage.
This TechDispatch has introduced how different types of neurodata processing enable different use cases, in the present and in the future. At the same time, we provided some high-level indications on how certain uses of neurodata can substantially interfere with fundamental rights and freedoms and jeopardise the fundamental right to respect for human dignity.
Neurotechnologies deal with human brain activity, where our most intimate thoughts and feelings reside. They raise crucial issues from a philosophical, ethical and legal perspective: “Understanding, treating, and augmenting the human brain and mind is one of the great scientific challenges of our age. Achieving these goals in a way that preserves justice, safeguards fundamental rights and human dignity is the corresponding task of ethics and law”.
Before further progress is made, it seems essential to undertake an in-depth analysis of neurodata and assess its impact on fundamental rights, including whether the creation of new human rights, namely neurorights, is required.
“The Council of Europe’s Convention for the Protection of Human Rights and Dignity of the Human Being with regard to the Application of Biology and Medicine (Oviedo Convention) offers an ideal platform and normative substrate for the protection and promotion of neurorights. Given its focus on prohibiting the misuse of innovations in biomedicine, protecting the dignity and identity of all human beings, and guaranteeing respect for their integrity and fundamental freedoms, the Convention is well placed for either enshrining neurorights through ad hoc protocols or for serving as a basis for future instruments.”
In any case, as noted, in the European Union, the Charter of Fundamental Rights already expressly acknowledges the fundamental right to mental integrity (Article 3), as one of the expressions of the fundamental right to human dignity (Article 1), which is also the foundation of the right to privacy and to the protection of personal data (respectively, Article 7 and 8 of the Charter).
Frontpage of the EDPS publication (pdf version)
Onder de sprekende titel ‘Notarissen schenden massaal de wettelijke meldplicht van nevenfuncties‘ werd een artikel op de NRC-site geplaatst, dat later de titel ‘Driekwart van de notarissen maakt nevenfuncties niet openbaar: na fraudeschandaal is weinig verbeterd‘ kreeg. Voor wie de kleine lettertjes van de journalist goed leest, ziet dat het om iets volstrekt onbelangrijks gaat:
Verreweg de meeste fouten rond de meldplicht die NRC vond, betreffen het niet melden van het bestuur van die eigen holding.
Dat rechtvaardigt de vette titel boven het artikel niet. Het niet-melden blijkt op een begrijpelijk misverstand te berusten, een misverstand dat notarissenorganisatie KNB inmiddels uit de wereld zal hebben geholpen.
Een storm in een glas water, dus. Jammer dat het NRC het nodig vindt om dit soort flauwekul te publiceren.
De Autoriteit Persoonsgegevens (AP) deelt in dit bericht mee dat organisaties slachtoffers van datalekken onvoldoende informeren:
Mensen die slachtoffer zijn van een datalek, krijgen vaak onvoldoende informatie van de organisatie die het datalek heeft. Daardoor raken slachtoffers onvoldoende doordrongen van het risico op misbruik van hun persoonsgegevens. En weten zij niet goed wat zij zelf kunnen doen om de risico’s op bijvoorbeeld online oplichting te verkleinen.
Het is belangrijk dat benadeelden goed en snel geïnformeerd worden:
‘Een snel, informatief waarschuwingsbericht helpt jou om je te wapenen’, verklaart AP-voorzitter Aleid Wolfsen. ‘Welke gegevens van jou zijn gestolen? Wanneer? Wat kan je hier eventueel nog tegen doen? Datacriminelen worden steeds brutaler in het oplichten en afpersen van mensen. Dus worden waarschuwingsberichten na datalekken steeds belangrijker.’
Daarom geeft de AP tips, zoals concrete voorbeeldteksten voor waarschuwingsberichten over datalekken.
Onderzoek
Verder wordt verslag gedaan naar het onderzoek dat de AP heeft gedaan, lees ook de rapportage (pdf). De samenvatting van de bevindingen luidt:
- Organisaties zijn vaak veel te traag met hun waarschuwingsberichten. Gemiddeld versturen ze die pas ruim 3 weken nadat zij een datalek hebben ontdekt – terwijl snelheid juist is geboden.
- In bijna de helft van de berichten staat niet duidelijk wat er is gebeurd en welke gegevens er zijn gelekt. Meer dan de helft van alle berichten zijn bovendien niet helder genoeg geschreven.
- In waarschuwende e-mails ontbreekt het soms aan een alarmerende titel of introductie. Met als risico dat de ontvanger het bericht zelfs helemaal niet leest.
Funny title has this article on a bitcoin-supporting website that presents itself als privacy advocate:
Meet FATF: The Financial Bullies Memberclub Trying To KYC The Planet.
The European Systemic Risk Board (ESRB) in an announcement highlighed that enhanced data sharing among EU authorities is key for the ESRB to deliver on its broad financial stability mandate:
Finally, the General Board highlighted that enhanced data sharing among EU authorities is key for the ESRB to deliver on its broad financial stability mandate. The General Board took note of the ongoing legislative process initiated with the European Commission’s proposal regarding reporting requirements in the fields of financial services and investment support (Regulation 2023/0363 (COD)). The General Board also acknowledged the European Parliament’s and Council’s first readings of that proposal, as well as the opinion of the ECB. In view of the announcement by the Hungarian Presidency of the EU to start the negotiations between the Parliament and the Council in the second half of the year, the General Board will present its views in a letter to the EU co-legislators in the coming weeks.
On 19 August ESRB sent data sharing letters to the European Parliament, the European Commission and the Council of the European Union.
In all of the letters, it is stressed ESRB needs granular data (microdata) for its work. These granular data include personal data of European citizens. In the letter to the Parliament ESRB notes:
The General Board of the ESRB firmly believes that timely access to granular data 1 is essential for the ESRB to fulfil its broad financial stability mandate. However, the ESRB’s access to data is not fully aligned with its objectives in several important areas. The rules governing the ESRB’s access to data can be divided into two frameworks: (i) ex ante, whereby the ESRB has access to data on a regular, ongoing basis, i.e. as soon as it is reported; and (ii) ex post, whereby it can only access data through ad hoc requests, which take time to process. As we demonstrate below, the ex ante framework is well aligned with the ESRB’s objectives and mandate, while the ex post framework has inherent limitations that hamper the ESRB’s ability to continuously monitor and mitigate risks to financial stability. Most importantly, the ex post framework applies to the ESRB’s access to certain granular data collected by the European Supervisory Authorities (ESAs).
Granting the ESRB ex ante access to granular data collected by the ESAs as part of structured, regular supervisory reporting should therefore be a priority. In the light of the European Parliament’s first reading, this improvement – referred to as “access by default” – will need to be considered by the EU co-legislators as part of the ongoing legislative process. The enhanced data sharing proposed by the European Parliament would improve the consistency and effectiveness of macroprudential oversight across sectors and strengthen statistical and analytical cooperation to the mutual benefit of the ESRB and the ESAs.
The General Board notes that the discussion among EU co-legislators will also touch upon other elements relating to the broader aim of the proposed regulation. However, the General Board strongly believes that enhancing data sharing between the ESAs and the ESRB is of primary importance for systemic risk monitoring and financial stability. To this end, the remainder of this letter discusses (i) the ESRB’s objectives, mandate and current rules governing access to granular data; (ii) how to better align the ESRB’s data access with its objectives and mandate; and (iii) other matters that would benefit from further clarification.
1 In this letter, the terms “data” and “information” are used somewhat interchangeably; the ESRB Regulation refers to “information”, while the specific legal acts mostly refer to “data reported”. Information can be defined as the sum of data and knowledge, while data require context and need to be processed, structured, organised and analysed to be understood.
ESRB requires granular data collect by the ESAs (footnotes deleted):
Most importantly, this framework applies to granular data collected by the ESAs within structured, regular supervisory reporting frameworks such as (i) COREP/FINREP data reported under CRD/CRR, (ii) data reported under Solvency II, and (iii) data reported under MiFID II and MiFIR. To date, cooperation between the ESAs and the ESRB has been excellent in this regard, despite the operational burden such ad hoc requests entail for all authorities involved, and the ESRB’s data requests have been always fulfilled. However, these data requests necessarily entail an institutional process of consultations and approvals, which results in a considerable time lag
They stress their need for these data (footnote deleted):
The ESRB’s experience over more than ten years of working with data has shown that monitoring an increasingly complex, interconnected and fast-moving financial system requires timely access to granular data. Modern financial systems are characterised by their interconnected, evolving and complex nature, with aspirations towards even greater integration, such as that envisioned under the Capital Markets Union (CMU). This interconnectedness facilitates risk sharing across various sectors, enhancing the resilience and efficiency of financial markets. However, it also poses a risk of contagion, where shocks in one sector can quickly propagate and take on cross-sectoral dimensions. To effectively monitor these risks and develop an appropriate policy response, it is crucial to link data across markets and counterparties. This requires granular data that facilitate a comprehensive analysis of how entities are interlinked and how risks can spread throughout the financial system. Moreover, monitoring and assessing systemic risks before they materialise (or in normal times) requires continuous access to information encompassing the various components of the financial system and their interdependencies, based on a broad set of relevant macroeconomic and micro-financial data and indicators.
According to the Board enhancing data sharing between the ESAs and the ESRB is increasingly important for the ESRB to continue delivering on its mandate.
The letters show that the government’s appetite for granular data is everywhere. Let’s hope data protection is in order.
Een beschaafde overheid zorgt er voor dat rechtshulp ook bereikbaar is voor mensen met minder geld, zeker omdat de belangrijkste tegenstander diezelfde overheid is!
De advocaten die in deze gespecialiseerde rechtsgebieden actief zijn hebben recht op een fatsoenlijke beloning.
>>> Lees meer over gefinancierde rechtshulp. >>>
Ellen Timmer - juridische artikelen en berichten 