Betalingsberichten worden bron van rijke informatie over iedere rekeninghouder (dus iedere burger op aarde) | ISO20022

Geplaatst op 28 augustus 2024 door Ellen Timmer

Financiële instellingen zijn verplicht op grond van Europese regelgeving (van internationale oorsprong) bij iedere betalingstransactie allerlei gegevens mee te sturen. Dit wordt wel de ‘travel rule’ of ‘Funds Travel Rule’ of ‘Wire Transfer Regulation‘ (Wtr) genoemd, zie mijn Wtr-blogs.

De betalingstransactiegegevens omvatten niet alleen basisgegevens, zoals het bedrag en wie de betaler en wie de ontvanger zijn.

Doordat het internationale berichtensysteem van het betalingsverkeer, beheerd door de internationale organisatie Swift [1], recent is vernieuwd, kunnen de berichten worden verrijkt met allerlei extra gegevens, die langs iedere schakel in het betalingsverkeer gaan. De vernieuwing betreft het gebruik van het ISO20022 berichtensysteem.

In het vernieuwde berichtensysteem kunnen allerlei detailgegevens worden toegevoegd, waarmee zowel het grootbedrijf als de overheid heel erg blij zijn. Door middel van ‘Purpose Codes’ worden die details toegevoegd, het betreft onder meer betaling van:

  • salaris
  • pensioen
  • energiekosten
  • gezondheidskosten, zoals de tandarts

De verplichting om de Purpose Codes te gebruiken is (nog) niet internationaal geharmoniseerd. Ieder land of gebied kan zelf beslissen of bepaalde codes verplicht zijn.

Voorbeeld: het Verenigd Koninkrijk

De Engelse nationale bank [2] publiceerde in een consultatieverslag uit 2021 [3] een illustratief overzicht van de codes die het VK heeft voorgeschreven:

(klik op het plaatje om een grotere versie te zien)

Het valt op dat er sprake is van een hoge mate van detaillering, zodat aan de hand van de uitgaven iedere burger gedetailleerd in beeld kan worden gebracht. Zo zijn er onder meer de volgende rubrieken:

  • koop van goederen of diensten
  • donaties aan goede doelen
  • gokuitgaven
  • loterijuitgaven
  • scholingsuitgaven
  • parkeerkosten
  • medische diensten
  • tandartsuitgaven
  • gasrekening
  • waterrekening
  • elektriciteitsrekening
  • telefoonrekening
  • kabel tv kosten
  • nutsvoorzieningen
  • pensioenpremie
  • verzekeringspremies, zoals voor een gezondheidsverzekering
  • betaling van een verzekeringsvordering
  • huur
  • salaris
  • pensioen
  • bijstand (‘social security benefit’)
  • werkloosheid- en arbeidsongeschiktheidsuitkering
  • kinderuitkering
  • (overige) overheidsbetalingen
  • allerlei soorten belastingen op detailniveau: inkomensbelasting, vermogensbelasting, wegenbelasting, btw

Deze rubricering is gebaseerd op het werk van internationale financiële organisaties die is terug te vinden op de ISO20022 site.

ISO20022 ExternalPurpose1Code

Voor de te gebruiken codes kan gebruik worden gemaakt van de External Code Sets die op de ISO20022 site zijn te vinden [4]. Vooral de rubriek ExternalPurpose1Code is zeer interessant met relevante subrubrieken, zoals medical met onder meer tandartskosten, zorgverzekering, ziekenhuiskosten en thuiszorg. Een andere is Salary & Benefits, met zeer veel categorieën, niet alleen salaris maar ook alimentatie, kinderbijslag en uitkeringen.
Er zijn rubrieken voor vele andere deelonderwerpen, zoals belastingen, nutsvoorzieningen en transport (inclusief bus en trein). In rubriek CR1049 worden gok- en loterijbetalingen vermeld.
Aan de hand hiervan kan een beeld worden gemaakt van iedere burger en iedere organisatie ter wereld. Het levert microdata op waar de overheid en het grootbedrijf van smullen.

Onderstaand ter illustratie wat codes uit de External Code Sets. De kolommen zijn respectievelijk: Code Set | Code Value | Code Name | Code Definition | Requester | Status | Additional Information

Enige codes uit de rubriek Salary & Benefits:

De medische codes:

De codes voor gokken en loterijen:

 

Wat schrijft Europa voor?

Ik heb nog niet kunnen vinden of Europa hier iets aan de lidstaten heeft voorgeschreven. De Europese Centrale Bank (ECB) spreekt in algemene termen over  het messaging systeem in een presentatie van december vorig jaar [5].
Aangezien Europa druk bezig is met open finance, lijkt me dat de Europese wetgever enthousiast zal zijn over de Purpose Codes. Bovendien dringt een van de vaste adviseurs van de Europese Commissie aan op gebruik van het berichtensysteem voor misdaadbestrijdingsdoeleinden (blog).

 

En wij dan? De risico’s

Niet alleen de overheid en het grootbedrijf zijn zeer verheugd over alle gegevens. Dit soort informatie is natuurlijk een goudmijn voor criminelen. Het zal me benieuwen hoe het beveiligd is en of de partijen die dit soort gegevens verwerken allen onder streng gegevensbeschermingstoezicht staan.

Een aantal jaren geleden werd bekend dat Swift ook criminelen toelaat, lees het artikel bij Follow the Money [6]. Dus er is wel werk aan de winkel.

 

Noten:

[1] Lees mijn berichten over Swift. In 2013 schreef ik over de PRISM affaire, de inhoud is nog steeds actueel.

[2] The Bank of England, site bankofengland.co.uk.

[3] Dit plaatje komt uit een consultatieverslag van oktober 2021, zie pagina 17. Zie dit bestand voor de UK Recommended Purpose Code list van juli 2022.

[4] Te vinden via de ISO 20022 site, bekijk de pagina External code sets, in de rubriek Additional Content for the Messages. Over de site: “The ISO 20022 Registration Authority (RA) is the guardian of the ISO 20022 website. (…) The RA services are provided by SWIFT SC“.

[5] ECB: Harmonised ISO 20022 data requirements for cross-border payments | CPMI Report, 13 december 2023.

[6] Lees Criminelen haken voor een prik aan bij het financiële netwerk SWIFT (betaalmuur) van Lukas Kotkamp. Ik heb er over geblogd.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , , , , , | 2 reacties

ISP Freedom Internet procedeert Europees tegen blokkeren websites

Geplaatst op 27 augustus 2024 door Ellen Timmer

Freedom Internet is samen met andere internet service providers (ISP’s), en samen met organisaties die opkomen voor internetvrijheid, bezig met een procedure tegen Europese instanties. Zij maken bezwaar tegen de Europese regelgeving die ISP’s voorschrijft bepaalde Russische propaganda- en desinformatiesites te blokkeren [1].
Freedom Internet is lid van de coalitie met de naam ‘Freedom of Information Coalition’ (FOIC) die zich tegen deze websiteblokkades richt, lees de pagina met informatie over FOIC [2]. De coalitie is van mening dat desinformatie niet bestreden moet worden met censuur [3].

Zitting in Luxemburg
In juli jl. vond de zitting in deze zaak bij de Europese rechter in Luxemburg plaats, aldus het verslag van Freedom Internet. Uit dat verslag blijkt dat de procedure aanhangig is gemaakt tegen de Raad van de Europese Unie en dat ook vijf andere Europese partijen zich in de procedure hebben gemengd, te weten de Europese Commissie, de Hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid en drie lidstaten [4].
Inhoudelijk ging de zitting onder meer over de vraag of ISP’s zich kunnen beroepen op de vrijheid van meningsuiting en of de blokkade effectief is.

De Nederlandse ISP komt ook nog zelf in beeld:

Tegen het einde van de dag vraagt een van de rechters of wij willen dat zij hun koers aanpassen zodat namens de samenleving een beroep kan worden gedaan op het recht op een vrije meningsuiting. Het is staande rechtspraak dat niet namens anderen wordt opgetreden in de rechtszaal. In het antwoord refereert onze advocaat aan een van de namen van de eisers: Freedom Internet. It’s all in a name. Ja, het is een commercieel bedrijf dat diensten levert aan consumenten maar ook een strijder voor de internetvrijheid van iedereen.

 

 

Noten:

[1] Het Europese besluit 2022/351 en de verordening 2022/350, vindplaats. Aanvankelijk waren het twee sites, er zijn later meer bij gekomen.
[2] De leden van de coalitie worden hier beschreven, de ISP’s zijn Freedom Internet, A2B Internet en BIT. Verder zijn de volgende organisaties lid van de coalitie: de Nederlandse Vereniging van Journalisten, het Persvrijheidsfonds, Bits of Freedom, Voys, MijnDomein, Quanza en OpenFiber.
[3] Zie onder meer dit artikel: “De coalitie twijfelt er niet aan dat de geblokkeerde Russische kanalen worden ingezet als propaganda tijdens de oorlog. Het zijn absoluut geen onafhankelijke nieuwszenders. De coalitie verdedigt de inhoud van de staatszenders dan ook niet maar vindt dat desinformatie niet moet worden bestreden met censuur. Het is juist belangrijk om te weten welke informatie in Rusland verspreid wordt, zodat je daar feiten tegenover kan stellen en de situatie kan duiden.“. Zie over de bezwaren ook het BIT-artikel There’s always a workaround: why censorship doesn’t work.
[4] Letland, Estland en Litouwen.

 

Meer informatie:

Overzichtspagina, met artikelen door Freedom Internet over de procedure:

Geplaatst in ICT, privacy, e-commerce, Sanctieregels | Tags: , , | Plaats een reactie

Bart de Koning: “Met meer data pak je boeven hun geld niet af” | financiële surveillance, witwasbestrijding

Geplaatst op 26 augustus 2024 door Ellen Timmer

De Nederlandse overheid heeft – in navolging van de ondemocratische wereldregering FATF en Europa – een heilig geloof in het grootschalig verzamelen van data over iedere burger, ter bestrijding van de misdaad. Dat constateert Bart de Koning in zijn artikel Met meer data pak je boeven hun geld niet af (betaalmuur) voor Follow the Money.

De intro:

Het kabinet wil nog meer informatie over burgers verzamelen en delen om fraude, witwassen en andere misdaad te bestrijden. Los van de principiële bezwaren is de vraag of big data wel effectief is in de strijd tegen fraude en misdaad. De resultaten stellen teleur, maar het geloof van de overheid is hardnekkig.

Hij constateert onder meer:

Er zijn fundamentele bezwaren tegen het bespioneren en profilen van vaak onschuldige burgers, daarom is het belangrijk om te weten of het iets oplevert. Sporen we er meer fraude mee op? Wie zich in die vraag verdiept, ontdekt dat er weinig politieke belangstelling voor de uitkomst is en dat het effect van veel systemen en methodes domweg niet bekend is. Als er wel harde cijfers bekend zijn, vallen de resultaten vaak tegen, zoals bij het plukken van criminelen.

 

Datahonger nog lang niet gestild
Voorlopig gaan de overheidspraktijken op het gebied van ongebreideld gegevens over burgers verzamelen vrolijk door. Nederland is voorstander van het Europese ‘Going Dark’ voorstel, zo valt te lezen in een recent verslag [*]. Het is te hopen dat criminelen niet inbreken op de interessante databases die door de overheidshonger naar data ontstaan.
Aangezien onlangs door Europa het AML Package is aangenomen en in dat wetgevingspakket financiële surveillance de hoofdrol speelt, ziet het er naar uit dat de wal het schip zal moeten keren.

 

 

[*] Verslag van de informele bijeenkomst van de Raad Justitie en Binnenlandse Zaken, 22 en 23 juli 2024 te Boedapest, zie paragraaf 4 Bestrijding georganiseerde criminaliteit: “Tevens werd door veel lidstaten, waaronder Nederland, het werk en de aanbevelingen van de high level group on lawful access to data (HLG) verwelkomd“.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , | Plaats een reactie

Het CBS weet wie er in Nederland arm is | microdata

Geplaatst op 25 augustus 2024 door Ellen Timmer

Het Centraal Bureau voor de Statistiek (CBS) is een organisatie die zeer veel weet van individuele burgers en vanwege haar taken ook het BSN mag verwerken. De detailgegevens die het CBS verwerkt worden ook wel als ‘microdata’ aangeduid.

Nieuwe methode
In juli maakte het CBS bekend dat zij bezig is met het in kaart brengen van armoede in Nederland, lees het bericht Aankondiging nieuwe methode om armoede te meten door CBS, SCP en Nibud. In het artikel artikel CBS, Nibud en SCP werken aan nieuwe armoedegrens wordt achtergrondinformatie gegeven en het tussenrapport bekend gemaakt.
Door middel van de nieuwe methode worden per huishouden een groot aantal gegevens in kaart gebracht. Naast inkomen en vermogen neemt men de werkelijke individuele uitgaven aan wonen, energie en – indien mogelijk – zorg mee. Het onderzoek dat het CBS, samen met het Nationaal Instituut voor Budgetvoorlichting (Nibud) en het Sociaal en Cultureel Planbureau (SCP), uitvoert zal naar valt aan te nemen alle huishoudens in Nederland omvatten. Dus ook huishoudens die niet onder de armoedegrens zouden kunnen vallen.

Herkomst microdata
De microdata die het CBS verwerkt zijn afkomstig uit overheidsbronnen, zoals registraties van de Belastingdienst, gemeenten, RDW en Rijkswaterstaat (aldus het CBS). Er worden ook registraties van bedrijven gebruikt, bijvoorbeeld kassascangegevens van supermarkten voor het berekenen van prijsontwikkelingen (aldus het CBS).

Gegevensbescherming
Het CBS bezweert dat er hoge eisen worden gesteld aan de toegang tot microdata, bekijk deze pagina. Daar staat onder meer:

Uw aanvraag wordt getoetst door het CBS op onder andere de vraag of de instelling het verrichten van statistisch of wetenschappelijk onderzoek als hoofdactiviteit heeft en publiceert voor de openbaarheid

De privacyverklaring voor deelnemers aan enquêtes is hier te vinden; zie ook de veelgestelde vragen. De voornoemde privacyverklaring lijkt ook de algemene verklaring te zijn, want vanuit de organisatiepagina wordt er eveneens naar verwezen.

 

 

Op dit blog schreef ik al eerder over de microdata van het CBS, onder meer over de verwerking van ANPR-data (Automatic Number Plate Recognition) (blog) en over de grote gemeenten die grootverbruikers zijn van microdata (blog), wat doen zij met die gegevens?

Geplaatst in Belastingrecht, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , | Plaats een reactie

Woo-verzoek ubo-register

Geplaatst op 24 augustus 2024 door Ellen Timmer

Op 7 augustus jl. werd het besluit op een Woo-verzoek over de privacyaspecten van het ubo-register bekend gemaakt, lees het besluit. Verder zijn een lijst van openbaar gemaakte stukken en de stukken zelf beschikbaar.

 

NB Het ubo-register is voorgeschreven door de ondemocratische internationale organisatie FATF, welke voorschriften door Europa via Europese regelgeving zijn opgelegd aan de lidstaten. Hoewel er driftig campagne voor het register is gevoerd, is tot nu toe niet gebleken of bewezen dat  het enige zin heeft.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, Ubo-register | Tags: , | Plaats een reactie

Radar: “Contactloos betalen via Google of Apple Pay: hoe zit het met je privacy?” | Privacy First

Geplaatst op 24 augustus 2024 door Ellen Timmer

Op de site van het programma Radar van de AvroTros verscheen het artikel Contactloos betalen via Google of Apple Pay: hoe zit het met je privacy?.
Op verzoek van Privacy First heb ik namens de stichting de journalist van Radar te woord gestaan en aangegeven hoe Privacy First tegen het onderwerp aankijkt.

Geplaatst in Financieel recht, onder meer Wft, Wtt, ICT, privacy, e-commerce | Tags: , , , , , | Plaats een reactie

Hoogleraar financieel recht sluit zich aan bij kritiek op sanctieregelgeving

Geplaatst op 23 augustus 2024 door Ellen Timmer

Emanuel van Praag, hoogleraar en advocaat bij een groot Amsterdams advocatenkantoor, sluit zich aan bij de kritiek van Privacy First op de sanctieregelgeving. Dat valt af te leiden uit zijn opinie in het FD, Banken drukken klanten onterecht in verdachtenbank. Wetgever, pas sanctieregels aan (betaalmuur). Hij bespreekt de uitspraken van het College voor de Rechten van de Mens en besluit met de constatering:

Het frappante is dat het ministerie van Financiën en DNB banken aanspreken op discriminatie, maar regels instandhouden die discriminatie veroorzaken. Het is hoog tijd om te komen tot een proportionele toepassing van de sanctieregels, waarbij begunstigden pas worden gecontroleerd bij een reëel risico op sanctieschending.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, Sanctieregels | Tags: , , , , | Plaats een reactie

De overheid vangt de digitale problemen van burgers met banken op | “Het kan niet de bedoeling zijn dat banken hun klantenservice indirect uitbesteden aan de gemeenten”

Geplaatst op 23 augustus 2024 door Ellen Timmer

iBestuur kondigde het artikel als volgt aan:

In het artikel IDO’s lopen het risico om een soort duizenddingendoekje te worden wordt beschreven hoe financiële instellingen, die digitale dienstverleners zonder fysieke kantoren zijn geworden, hun klanten digitaal het bos in hebben gestuurd. Lees onder meer:

Dat roept ook vragen op over de verantwoordelijkheid van private partijen: het kan niet de bedoeling zijn dat zij hun klantenservice indirect uitbesteden aan de gemeenten. Inmiddels lopen er achttien pilots met bankinformatiepunten bij IDO’s, bemenst door bankmedewerkers die bankneutraal werken. Bij twee pilots bemensen bibliotheekmedewerkers de bankinformatiepunten. De banken betalen een vergoeding voor hun deelname.

Het is bizar dat banken, die een essentiële dienst leveren, het zo ver laten komen. Soms zijn ze prima in staat om samen te werken (iDEAL, Geldmaat, witwasbestrijdingsstandaarden), maar als het om het goed bedienen van de klant gaat, lijkt dat ineens héééééééél moeilijk.

Geplaatst in Bankrekening krijgen en behouden, Financieel recht, onder meer Wft, Wtt, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , | 1 reactie

J5 ontmaskerd | Nederland en de Joint Chiefs of Global Tax Enforcement

Geplaatst op 21 augustus 2024 door Ellen Timmer

Kleinduimpje Nederland mag spelen met de Grote Jongens, schreef ik in 2018 over de Joint Chiefs of Global Tax Enforcement (J5), een samenwerkingsverband van fiscale opsporingsdiensten. In 2022 constateerde ik tot mijn verbazing dat de organisatie nog steeds bestaat.

Nu heeft Eric Smit op Follow the Money een artikel over de J5 geschreven: Succesmythe ‘Operatie Atlantis’ toont de zwakte van opsporingsdiensten in de wereldwijde strijd tegen witteboordcriminelen (betaalmuur). Volgens het artikel is de J5 een initiatief van de wegens de Toeslagenaffaire afgetreden Fiod-directeur Van der Vlist.
Smit beschrijft een affaire met een bank in Puerto Rico, volgens de J5 een van de successen van de samenwerking, daar zet Smit vraagtekens bij.  Humor is dat de oprichter van de bank, Peter Schiff, mee doet aan de reacties op het artikel, hierna aan stukje van de reactie:

Het internationaal bestrijden van misdaad is voor overheden lastig, zo blijkt uit het artikel. Dus dat het voor  bedrijven in het kader van hun criminaliteitsbestrijdingstaken makkelijk(er) zou zijn (‘witwasbestrijding’) is zeer onwaarschijnlijk. Toch blijven overheidsdienaren dat verhaal volhouden.

Journalisten hebben het veel makkelijker. Smit schrijft in het begin van het artikel over de Panama Papers affaire die aanleiding was voor de J5, en zegt onder meer: “Op de conferentie kwamen deze journalistieke successen uitgebreid aan de orde“. Of de activiteiten wel een succes waren is de vraag. In ieder geval hebben overheden te maken met allerlei regels die er voor moeten zorgen dat zorgvuldig en integer wordt gehandeld. Van dat soort regels en van toezicht hebben journalisten geen last.

Geplaatst in Belastingrecht, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Strafrecht | Tags: , , | Plaats een reactie

Het is tijd voor een domme mobiel | dumbphone

Geplaatst op 20 augustus 2024 door Ellen Timmer

Kenmerkend voor de IT-boeren is dat ze allerlei functionaliteit voor je apparaat maken zonder je te vragen of je dat wel wil en soms zonder dat je het kunt uitzetten.
Zo erger ik me al jaren mateloos aan de behoefte van de foto app om mijn foto’s te rubriceren en kan ik die functie niet uit zetten.
Ook is irritant dat alle apps kunnen notificeren en dat bij iedere herinstellatie alle notificaties handmatig moeten worden uitgezet.
Eigenlijk moet ik bij iedere update alle instellingen en apps nalopen om te zien of er iets nieuws is toegevoegd dat ik niet wil. In ieder geval moet ik standaard bluetooth uit zetten, als ik dat voor de update uit had staan.

‘Detecteerbaar door anderen’
Dit voorjaar ontdekte ik een ‘dagboek’ app op mijn werkmobiel (een iphone) die als standaard instelling heeft (ook als de app niet wordt gebruikt): “Detecteerbaar door anderen“.

Bizar, want dit wordt niet aan de gebruiker gemeld en evenmin netjes gevraagd. De uitleg van Apple is ook bizar, domme artificial intelligence gaat van alles doen zonder te vragen:

Personen in de buurt
(…) ‘Suggesties voor dagboek bijhouden’ gebruikt Bluetooth om het aantal apparaten en contacten bij jou in de buurt te detecteren zonder dat er wordt opgeslagen welke van deze specifieke contacten in de buurt waren. Deze gegevens worden gebruikt om prioriteit te geven aan je suggesties. Ze worden op het apparaat opgeslagen en niet gedeeld met Apple. Je kunt ervoor kiezen om niet toe te staan dat ‘Suggesties voor dagboek bijhouden’ het aantal apparaten en contacten bij jou in de buurt gebruikt om prioriteit te geven aan je suggesties door in Instellingen naar ‘Privacy en beveiliging’ > ‘Suggesties voor dagboek bijhouden’ te gaan en vervolgens te tikken om ‘Voorkeur voor suggesties met anderen’ uit te schakelen.

Het maakt duidelijk dat gegevensbescherming en privacy voor Apple geen betekenis hebben. Een fatsoenlijk bedrijf zou niet standaard ‘Detecteerbaar door anderen‘ aan zetten, maar het netjes vragen. Het is tijd voor iets anders dan de producten van de boefjes van Appel en Goochel. Want het zelfbeschikkingsrecht van burgers lappen zij aan hun laars.

Weg met de slimheid
Ik ben aan het kijken naar een dumb phone. Weg met al die ‘slimheid’ die vooral commerciële belangen dient en die nul interesse heeft voor de gebruikers.

 

PS Het schijnt ook in de mode te zijn:

Geplaatst in ICT, privacy, e-commerce | Tags: , , , , , , | 2 reacties