Radio-interview Privacy First bij De Nieuws BV over datahonger van AFM en DNB

Geplaatst op 10 juli 2024 door Ellen Timmer

Het radioprogramma De Nieuws BV heeft Privacy First uitgenodigd voor een interview op 9 juli jl. naar aanleiding van de deelname aan de wetgevingsconsultatie (blog). Op verzoek van Privacy First heb ik daar het woord gevoerd.

Beluister of bekijk St. Privacy First en banken bezorgd over datahonger van AFM en DNB.
Het item werd als volgt aangekondigd:

Afgelopen week was er veel onrust binnen de financiële sector over de privacy van klanten. De toezichthouders van de financiële sector, De Nederlandse Bank (DNB) en de Autoriteit Financiële Markten (AFM) willen dat financiële instellingen zoals banken en verzekeraars hun klantgegevens met hen gaan delen. De financiële instellingen vinden dit veel te ver gaan en maken zich zorgen over de privacy van hun klanten. En ook de Stichting Privacy First trekt aan de bel. Te gast is Ellen Timmer, zij is woordvoerder financiële privacy van de Stichting Privacy First. En aan de telefoon is Natalie Aartsen, hoofd van de afdeling Lenen, Sparen en Retailbeleggen van de Autoriteit Financiële Markten, de AFM.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , | Plaats een reactie

Reacties op de consultaties over granulaire gegevens voor AFM en DNB

Geplaatst op 10 juli 2024 door Ellen Timmer

Op de consultaties inzake wetsvoorstellen die het mogelijk moeten maken dat AFM en DNB op grote schaal persoonsgegevens en andere granulaire data mogen opvragen bij financiële instellingen, zijn een groot aantal reacties binnen gekomen.

Daartoe behoorden commentaren van Human Rights in Finance.EU: HRIF.EU visie over sleepnet-rapportage wetten voor AFM/DNB: niet doen! en Privacy First: Geen carte blanche voor DNB en AFM om massaal persoonsgegevens binnen te harken.

Reacties

In de AFM-consultatie zijn veertien reacties openbaar gemaakt, twee van de genoemde burgerrechtenorganisaties, nl. Human Rights in Finance.EU en Privacy First. Veel brancheorganisaties deden mee: NVB, NVP, VV&A, VvVA, Adfiz, SRA, DUFAS, NBA, VFN, NVF, VvV.
Naar aanleiding van de DNB-consultatiedocumenten zijn zeven openbare reacties ingediend, waarbij burgerrechtenorganisaties Human Rights in Finance.EU en Privacy First eveneens mee deden. Verder werden reacties door de volgende brancheorganisaties ingediend: VvV, NVB en DUFAS.

Waarom detailgegevens?
In de DNB-consultatie zijn ook twee anonieme reacties, de ene schrijft:

Vreemd dat DNB voor het controleren van de onder haar toezicht vallende banken detail gegevens nodig heeft. Een accountant vraagt toch ook niet standaard alle betalingen van alle rekeninghouders op bij een bank als gecontroleerd dient te worden of het financiële jaarverslag klopt?
DNB dient samen met de politiek het speelveld te bepalen. Verder dient er gerapporteerd te worden over de wijze waarop banken hun risico’s managen en daar dient een audit op plaats te vinden. De door de banken aan te leveren gegevens kunnen op hoofdlijnen blijven, geen noodzaak tot praktisch op huisniveau te analyseren.
Alleen al de vermelding dat aanvullende acties nodig zijn om analyse tot op persoonsniveau gedaan kunnen worden geeft al aan dat het voorstel te ver gaat en niet in deze vorm door mag.
Verder de vraag in hoeverre de door de DNB verzamelde data weer bij ander partijen terecht kan komen en wat die met deze data kunnen doen.
De doos van Pandora gaat nu eenmaal moeilijker dicht dan open.

Pseudonimisering
De andere zet vraagtekens bij de pseudonimisering:

Er word in het voorstel gepraat over pseudonimisering, maar tegelijk word hierbij ook een een hele reeks gegevens bij gevraagd die individueel misschien niet direct herleidbaar zijn, maar de combinatie van deze gegevens zal het zeer eenvoudig zijn om personen te identificeren. Alleen al de 4 cijfers van de postcode kan in sommige gevallen al vrij veel informatie geven (in bepaalde gevallen zijn dit slechts 15 personen, gemiddeld 4000), en de combinatie met o.a. het geboortejaar en alle andere gegevens zijn individuen in de praktijk eenvoudig te identificeren. Met het volgbaar maken van individuele hypotheken over meerdere jaren (15 jaar), is dit kinderlijk eenvoudig voor een goede data analist.

Ik denk dat dit een zorgelijke ontwikkeling is. Ik zie ook geen goed onderbouwde reden dat de DNB de hypotheekmarkt niet in de gaten kan houden zonder deze zeer grote inbreuk op de privacy van individuen.

Berichtgeving

Uit de berichtgeving rond deze consultaties blijkt dat niet alleen Human Rights in Finance.EU en Privacy First kritiek hebben op de voorstellen. Ook de brancheorganisaties van de ondernemingen die de gegevens aan AFM en DNB moeten aanleveren zijn bezorgd.

Een greep uit de artikelen:

Bij het afsluiten van de tekst was er bij andere landelijke media nog niets over de consultatie te vinden.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , , | Plaats een reactie

Komt er een nationaal schuldenregister? | Contourenschets civiele invordering

Geplaatst op 9 juli 2024 door Ellen Timmer

Als ik de Contourenschets civiele invordering doorlees, die aan de Tweede Kamer is aangeboden door de minister van Rechtsbescherming en de minister van Armoedebeleid, Participatie en Pensioenen, komt bij mij de vraag op of er een nationaal schuldenregister komt. Op diverse plaatsen wordt opgemerkt dat er onvoldoende schuldeninformatie is [*] en partijen langs elkaar heen werken.

Over het Bureau Kredietregistratie (BKR) en over de datahandel kredietinformatie kom ik in de ministersbrief en de contourenschets niets tegen. Privacy First is in een consultatiereactie uitvoerig ingegaan op de toekomst van kredietregistratie, lees op dit blog Kredietregistratie in Nederland: BKR in huidige vorm moet verdwijnen.

 

[*] Deze mogelijke maatregel wordt voorgesteld: “Zorg voor een integraal schuldenoverzicht, zodat burgers sneller inzicht krijgen in alle schulden, betalingsachterstanden en beslagen.

 

Meer informatie:

  • Brief van de minister van Rechtsbescherming en de minister van Armoedebeleid, Participatie en Pensioenen van 28 juni 2024.
  • Contourenschets civiele invordering, opgesteld door het ministerie van Veiligheid.

Zie over kredietregistratie op dit blog verder: Autoriteit Persoonsgegevens: “Nieuwe regels voor kredietregistratie schieten tekort” en Kritiek Privacy First op voorstel om CAK het recht te geven persoonsgegevens van Wmo- en Wlz-schuldenaren bij een schuld van meer dan 100 euro aan gemeenten te melden.

Geplaatst in Contractenrecht, privaatrecht algemeen, Financieel recht, onder meer Wft, Wtt | Tags: , , , | Plaats een reactie

ECHR judgment on Polish legislation on secret surveillance

Geplaatst op 8 juli 2024 door Ellen Timmer

The European Court of Human Rights (ECHR) on 28 May decided in the case Pietrzak and Bychawska-Siniarska and Others v. Poland that the right of respect for private life was violated by the Polish government. From the press release:

Given the secret nature and wide scope of the measures provided for by the Polish legislation and the lack of effective review by which persons who believed that they had been subjected to surveillance could challenge this alleged surveillance, the Court found it appropriate to examine the legislation at issue in abstracto. It considered that the applicants could claim to be the victims of a violation of the Convention, and that the mere existence of the relevant legislation constituted in itself an interference with their Article 8 rights.

The Court then held that all the shortcomings identified by it in the operational-control regime led to a conclusion that the national legislation did not provide sufficient safeguards against excessive recourse to surveillance and undue interference with individuals’ private life; the absence of such guarantees was not sufficiently counterbalanced by the current mechanism for judicial review. In its view, the national operational-control regime, taken as a whole, did not comply with the requirements of Article 8.

It further considered that the national legislation, under which information and communication technologies (“ICT”) providers were required to retain communications data in a general and indiscriminate manner for possible future use by the relevant national authorities, was insufficient to ensure that the interference with the applicants’ right to respect for their private life was limited to what was “necessary in a democratic society”.

Lastly, the Court concluded that the secret-surveillance provisions in the Anti-Terrorism Act also failed to satisfy the requirements of Article 8 of the Convention, noting, among other points, that neither the imposition of secret surveillance nor its application in the initial three-month period were subject to any review by a body that was independent and did not include employees of the service conducting that surveillance.

 

More information:

Geplaatst in English - posts in English on this blog, Europa, Grondrechten, Strafrecht | Tags: , , , | Plaats een reactie

Waar is de Wet Ketenaansprakelijkheid gebleven? | FIU jaarverslag, Wwft

Geplaatst op 7 juli 2024 door Ellen Timmer

In het jaarverslag van FIU-Nederland worden weer veel cijfers over aantallen meldingen door bedrijven met criminaliteitsbestrijdingstaken (Wwft-plichtigen) genoemd, waarmee de suggestie wordt gewekt dat die aantallen iets zeggen.
Uit het verslag blijkt dat contante betaling een grote rol speelt in de door de organisatie gesignaleerde criminele trends, wat niet nieuw is.

Waar is de Wet Ketenaansprakelijkheid gebleven?
Opmerkelijk is dat men meldt dat contante betaling van personeel een grote rol zou spelen in het criminele circuit, onder meer in de bouw, zie paragraaf 2.1.6.2:

In veel van de FA-analyses is de hypothese ontstaan dat in arbeidsintensieve sectoren op grote schaal werknemers worden ingezet die (soms deels) zwart worden betaald. Via detacheerders en onderaannemers zijn deze (deels) zwart betaalde medewerkers werkzaam voor grote, bekende en zichtbare bedrijven in arbeidsintensieve sectoren zoals de transportsector, bouw en pakketbezorging. Waar de malafide detacheerder zijn werknemers voorheen zwart kon betalen met contant opgenomen gelden, lijkt het erop dat de strengere controles van banken dit hebben bemoeilijkt. Uit FA-analyses komen indicaties naar voren dat deze behoefte aan contant geld voor het (deels) zwart uitbetalen van arbeid nu grotendeels ingevuld lijkt te worden met crimineel contant geld.

Contante betaling van personeel is een oud probleem dat al lange tijd onder meer door middel van de Wet Ketenaansprakelijkheid wordt bestreden. Daar rept FIU-Nederland niet over, wat ik vreemd vindt.

Ontbreken context
Een gebrek aan documenten als het jaarverslag van FIU-Nederland is dat de problemen niet in hun feitelijke en juridische context worden geplaatst. Het maakt groot verschil of ondernemingsactiviteiten die door criminelen worden misbruikt plaats vinden een een weinig gereguleerde sector, of dat dit gebeurt in een zwaar gereguleerde sector zoals de zorg.
Mijn indruk is dat zorgfraude door de overheid feitelijk en juridisch wordt gefaciliteerd, terwijl er een groot aantal overheidsorganisaties in de zorg actief zijn die zicht hebben op wat ondernemers in de sector aan het doen zijn en op de mechanismen waar zij misbruik van maken. Het is een zwaktebod om dan van Wwft-plichtigen te verwachten criminaliteit te signaleren, zeker als gekeken wordt naar de disproportionele kosten die Wwft-plichtigen (bijvoorbeeld banken) moeten maken om de criminaliteit te ontdekken.

Het zou goed zijn als de misdaadbestrijders eens gingen nadenken waarom bepaalde criminaliteit mogelijk is en of er simpele maatregelen zijn te nemen die criminaliteit voorkomen, in plaats van aan het einde van de lijn detectietaken neer te leggen bij bedrijven die daar ongeschikt voor zijn (Wwft-plichtigen).

Geplaatst in Belastingrecht, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft | Tags: , | Plaats een reactie

Magdalena Brewczyńska’s thesis ‘Policing via banks: the question of legitimacy of personal data sharing’ | AML, CFT

Geplaatst op 6 juli 2024 door Ellen Timmer

In January 2024 Magdalena Brewczyńska defended her thesis ‘Policing via banks: the question of legitimacy of personal data sharing‘. The thesis was reported on NJBlog in this article.

Geplaatst in Bankrekening krijgen en behouden, English - posts in English on this blog, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , , , | Plaats een reactie

Kritiek op nieuwe Europese ubo-regels: “Openbaarheid, ten koste van privacy en veiligheid”

Geplaatst op 6 juli 2024 door Ellen Timmer

In het FD verscheen het artikel Openbaarheid, ten koste van privacy en veiligheid [1], een opinie geschreven door Stefan Tax, Siep Wijsenbeek en Mark Molenaar.
De auteurs komen op voor de belangen van het familiebedrijf, Nederlandse fondsen en het Nederlandse vrijwilligerswerk [2], die nadeel zullen ondervinden van de nieuwe Europese ubo-regels die van iedere ‘uiteindelijk belanghebbende‘ (‘ubo’) een vermoedelijke crimineel maken. De auteurs schrijven:

Het UBO-register is een inbreuk op de privacy en de veiligheid van betrokkenen

terwijl het bewijs van het misdaadbestrijdingsnut ontbreekt.
Het register levert risico’s op voor de ingeschrevenen:

Bovendien komt daar bij familiebedrijven en vermogensfondsen nog een veiligheidsrisico bij. De geregistreerden worden namelijk direct geassocieerd met het vermogen van een bedrijf of fonds, met grote gevolgen voor de persoonlijke veiligheid.

In de nieuwe ubo-regels van Europa wordt het ubo-register de facto open gesteld, want ‘legitiem belang’ wordt onaanvaardbaar uitgerekt, de auteurs schrijven:

In het nieuwe pakket met antiwitwasmaatregelen wil de Europese Unie opnieuw toegang geven tot het UBO-register aan een groot aantal partijen. Dat betreft, naast overheidsinstanties, ook journalisten, verslaggevers en ‘anderen die zich uiten in de media’ – wat dus de vraag oproept of naast echte journalisten straks ook gewoon iedereen met een socialemedia-account een aanvraag kan doen.

Daarnaast kan, zonder goede definitie en restrictie, iedereen onder een van de andere groepen vallen die straks toegang moet krijgen tot het UBO-register. Zo krijgt iedereen die een transactie wil aangaan met een rechtspersoon én betrokkenheid met witwassen en terrorismefinanciering wil voorkomen toegang. En termen als ‘maatschappelijke organisaties’ en ‘wetenschappers’ zijn bijzonder vaag.

Ironie ten top is dat de geregistreerde zelf niet in mag zien wie in zijn of haar gegevens heeft gekeken, vanwege de privacy van de persoon die deze gegevens heeft willen inzien. Dat is in afwijking van een eerdere uitspraak van het Europees Hof. Bovendien is het onacceptabel.

De auteurs roepen op om tot een werkbaar ubo-register te komen, dat bijdraagt aan misdaadbestrijding maar ook de privacy waarborgt en zo min mogelijk bureaucratie met zich meebrengt.

 

Noten:

[1] FD artikel Openbaarheid, ten koste van privacy en veiligheid (betaalmuur). Op privacynieuws is een verkorte versie gepubliceerd, die echter niet de complete tekst bevat.

[2] Stefan Tax is lobbyist voor familiebedrijven en partner bij Meines Holla & Partners. Siep Wijsenbeek is directeur Vereniging Fondsen in Nederland. Mark Molenaar is belangenbehartiger bij de Vereniging Nederlandse Organisaties Vrijwilligerswerk.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, Ubo-register | Tags: , , , , , , , , , | Plaats een reactie

Internationale financiële instanties dringen aan op verwerking persoonsgegevens en andere ‘granulaire data’ door toezichthouders | microdata, DNB, AFM

Geplaatst op 5 juli 2024 door Ellen Timmer

Het is boeiend om te zien dat in wereldwijde samenwerkingsverbanden van de financiële sector wordt aangestuurd op het grootschalig verwerken van persoonsgegevens en andere gedetailleerde gegevens van iedereen die financiële diensten afneemt. Dat gebeurt niet alleen door financiële instellingen maar ook door overheidsinstellingen.

In de consultatiebijdrage van Privacy First (via de aankondiging te vinden) wordt geconstateerd dat in het financiële toezicht en in de financiële sector een grenzeloze behoefte aan persoonsgegevens is, vanwege het vermeende nut voor hun activiteiten. De persoonsgegevens worden gebruikt om kunstmatige intelligentie (artificial intelligence, AI) te trainen (machine learning).

Bank for International Settlements (BIS): “Availability of granular data is key
Privacy First maakt melding van een paper gepubliceerd op de site van de Bank for International Settlements (BIS) [*]. In de samenvatting constateert de auteur dat persoonsgegevens en andere detailgegevens van klanten (‘granular data‘, granulaire data) nodig zouden zijn voor het financiële toezicht:

Critical suptech tools leverage granular data. Financial authorities that have collected granular data historically are able to develop tools that make it more efficient to organise, interrogate and analyse these data. This in turn makes it easier to extract useful insights from them. Hence, it is important for financial authorities to enhance their data collection practices first before pursuing the benefits of data analytics tools.

De auteur concludeert: “Availability of granular data is key”, en elders: “Suptech tools need good-quality granular data”, en geeft daarmee de heersende gedachte weer.

The Financial Action Task Force: Data Pooling and Collaborative Analytics
De behoefte aan ‘granulaire data’ past in een internationale trend die al jaren geleden is begonnen en die geen publieke aandacht heeft gekregen.
Zo liet The Financial Action Task Force (FATF), de informele wereldregering op het gebied van misdaadbestrijding door bedrijven (‘witwasbestrijding’),  weten dat de organisatie vindt dat financiële instellingen gezamenlijk op jacht moeten gaan naar crimineel geld, bekijk bijvoorbeeld de Stocktake on Data Pooling, Collaborative Analytics and Data Protection.
In 2020 maakte ik een overzicht van datadeelpublicaties door FATF, die ook over het analyseren van gegevens door overheden gaan.
Als financiële instellingen samen transacties monitoren, wat de bedoeling was van Transactiemonitoring Nederland (TMNL), komt dat neer op een pseudo-overheid. Vooralsnog is dat niet toegestaan en bouwt TMNL de huidige activiteiten af en bekijkt wat er mag op grond van de nieuwe Europese regels (blog).

IMF: “the collecting and processing of granular data proved to be a right way forward
Op 18 juni jl. maakte het Internationale Monetaire Fonds (IMF) een ‘Technical Note on Banking Supervision over Nederland bekend, waarin IMF trouw de wetgevingswensen van het Nederlandse ministerie van Financiën overneemt.
In het document wordt melding gemaakt van het tijdens de Covid-19 pandemie door de Nederlandse financiële toezichthouders verwerken van individuele gegevens van leningen:

51. The conditions in the COVID-19 pandemic underscored the need to analyze granular data. DNB was collecting detailed information about individual loans (‘loan-tapes’) which are usually required before onsite examinations. These data sets were analyzed to identify irregularities and determine the asset quality.

Voor zover ik weet was er geen wettelijke grondslag voor deze verkrijging van granulaire data. Elders in het rapport wordt aanbevolen een wettelijke grondslag voor het verkrijgen van granulaire gegevens te creëren:

Recommendation 5: Ensure that authorities have a clear legal basis to access granular, transaction/loan level data on a regular basis for risk monitoring and analysis, including residential and commercial real estate loans.

Die gegevens zullen ook inkomensgegevens en andere persoonsgegevens van schuldenaren kunnen omvatten. Dit betekent feitelijk dat de financiële toezichthouders het werk van financiële instellingen gaan overdoen.

Opvragen gegevens zonder passende wettelijke grondslag
Het is niet de eerste keer zijn dat financiële toezichthouders zonder wettelijke grondslag persoonsgegevens en andere granulaire data opvragen.
Zo is van algemene bekendheid dat geldtransactiekantoren al vele jaren periodiek al hun transactiegegevens (inclusief persoonsgegevens van verzender en ontvanger) aan DNB moeten leveren, zonder dat daar een passende wettelijke grondslag voor is.

In het artikel in het FD van vandaag (betaalmuur) wordt een advocaat geciteerd die bevestigt dat de financiële toezichthouders gegevens opvragen zonder wettelijke grondslag:

 

Waar gaat het heen?

De trend is dat de overheid in het financiële toezicht niet meer alleen kijkt hoe financiële instellingen hun werk doen. Als de overheden grote hoeveelheden detailgegevens van de financiële instellingen binnen halen en daar een artificial intelligence slag overheen laten gaan, komt het er op neer dat die overheden het werk van de banken c.s. dunnetjes gaan overdoen.

Daarom vind ik dat het hoog tijd is dat het gehele data landschap van zowel DNB als AFM zorgvuldig wordt geanalyseerd en wordt bekeken of het wel wenselijk is dat zij zelf als datafabrieken met gegevens van financiële instellingen en van alle burgers aan de slag gaan. En als dat toch zou moeten gebeuren, hoort daar volwassen toezicht op DNB en AFM bij.

 

 

Noten:

[*] Peering through the hype – assessing suptech tools’ transition from experimentation to supervision, FSI Insights on policy implementation No 58, juni 2024.

 

 

 

Aanvullingen

 

Aanvulling 6 november 2024 – OECD: “The potential of tax microdata for tax policy
Deze publicatie over microdata had ik gemist: bij de OECD werd in september 2019 een paper gepubliceerd over het gebruik van fiscale persoonsgegevens (de belastingaangiften), lees de aankondiging: The potential of tax microdata for tax policy. Introductie:

This paper explores one distinctive form of the ‘big data’ of economics – individual tax record microdata – and its potential for tax policy analysis. The paper draws on OECD collaborations with Slovenia and Ireland in 2018 where tax microdata was used.
Most empirical economics is based on survey data. However, the current trend of low and falling response rates has placed a question mark over the future value of survey practice generally. By contrast, this paper discusses the increasing use of tax microdata in economic research and the new types of policy analysis made possible by it.
In the future, best-practice tax policy analysis is likely to combine tax microdata with survey and national account data. The advantages of these combined data will be important for policymakers to understand and address future policy challenges including protecting tax revenues in an era of population ageing and supporting fairness given the changing nature of economic mobility.

 

Aanvulling 25 juli 2024 – ECB: enthousiasme over “the increased availability of granular data
Lees over de behoefte aan microdata de speech van Philip R. Lane, lid van het bestuur van Europese toezichthouder European Central Bank (ECB). Hij spreekt vol enthousiasme over de “increased availability of granular data” en meldt men bezig is met analyse van “bank-level, firm-level and household-level datasets“. Die household-level datasets zijn persoonsgegevens. De informatie die men heeft is heel gedetailleerd, zo blijkt uit deze passage: “More recently, the European System of Central Banks has developed the Distributional Wealth Accounts, a dataset that provides new experimental quarterly statistics on household wealth“. De speech sluit af met (noten verwijderd):

With respect to wages, the newly-developed ECB wage tracker is based on granular data on collective bargaining agreements, allowing the ECB to interpret the latest signals on developments in wages in the euro area and conduct sectoral analysis that can shed light on the connection between wages and prices. In addition, micro price data can enhance our understanding of how firms set prices. The analytical and policy value of these surveys and granular datasets is increasing in the breadth and credibility of research that provides a guide to understanding the macroeconomic impact of heterogeneity. I am confident that the papers presented at this conference will make a valuable contribution to advancing this exciting research programme.

The wider availability of timely granular information on balance sheets, millions of individual loans and their lending rates (for example in the European AnaCredit credit register) and deposit rates for euro area monetary financial institutions has offered increasingly detailed insights into bank-based transmission. We now have evidence that firm and bank balance sheet constraints can amplify the contraction in credit availability brought about by policy tightening. Access to granular survey data, for example the individual replies to the bank lending survey, also helps disentangle credit supply from demand to understand the transmission of shocks to the real economy via banks. More recently, the availability of security-level data as well as loan- and transaction-level information on banks and firms has further enhanced the analysis of the monetary policy transmission mechanism along several dimensions, including: heterogeneity in the transmission of monetary policy across regions and sectors; the impact of monetary policy on bank risk-taking; and the sources of changes in credit developments.

 

Aanvulling 25 juli 2024 – DNB: “we applied an outlier detection tool … to detect anomalous transactions in a dataset that contains millions of customers and bank accounts and billions of transactions
Zie voorts dit artikel waarin ik verwijs naar een mededeling van Steven Maijoor van DNB, die meldt dat DNB zelf aan transactiemonitoring doet:

At DNB we applied an outlier detection tool in Know Your Customer examinations. We used it to detect anomalous transactions in a dataset that contains millions of customers and bank accounts and billions of transactions.

Ik stel daarbij vragen: “Where does DNB get this huge dataset from? What is the legal basis for this data processing?” In het artikel meld ik ook ChatDNB.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , , , , , , , , , , , , | Plaats een reactie

Privacy First: Geen carte blanche voor DNB en AFM om massaal persoonsgegevens binnen te harken

Geplaatst op 5 juli 2024 door Ellen Timmer

Over de deelname aan de twee consultaties die het mogelijk moeten maken dat DNB en AFM persoonsgegevens van Nederlanders krijgen, schreef Privacy First het artikel Geen carte blanche voor DNB en AFM om massaal persoonsgegevens binnen te harken. Daarin wordt de kern van hun kritiek weergegeven. De consultatiedeelname kondigde ik hier al aan.

Het artikel, waarvan ook een machinevertaling in het Engels beschikbaar is:

Geen carte blanche voor DNB en AFM om massaal persoonsgegevens binnen te harken

Het ministerie van Financiën heeft in twee internetconsultaties voorgesteld dat de financiële toezichthouders Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB) op grote schaal persoonsgegevens van klanten mogen gaan opvragen bij financiële instellingen zoals banken. Privacy First heeft deelgenomen aan beide consultaties[*] en heeft zware kritiek op de voorstellen, nu beide toezichthouders al op grote schaal persoonsgegevens verwerken zonder dat daar publieke verantwoording over wordt afgelegd.

Financiële persoonsgegevens lopen risico
Op dit moment wordt de privacy van burgers op grote schaal bedreigd door grote advertentiebedrijven zoals Facebook en Google. Tot op zekere hoogte kun je jezelf echter onttrekken aan de pogingen van deze bedrijven om alles over je te weten te komen.

Financiële persoonsgegevens zijn tot nu toe redelijk buiten schot gebleven van de datahonger van de internetgiganten en overheden. Het is veel moeilijker voor mensen om hun financiële persoonsgegevens te beschermen omdat je nu eenmaal niet zonder banken, verzekeraars en andere financiële instellingen kunt. Die instellingen bieden essentiële producten aan, bijvoorbeeld een WA-verzekering of een betaalrekening, zonder welke burgers niet volwaardig kunnen deelnemen aan de maatschappij. Burgers moeten erop kunnen vertrouwen dat hun privacy bij hun bank gewaarborgd is en dat de overheid hun privacy niet stelselmatig schendt door aan de achterdeur bij banken stelselmatig hun data op te vragen en die data vervolgens met elkaar en andere nationale en internationale overheidsinstanties te delen. Dit zou het wettelijke grondrecht op gegevensbescherming tot een dode letter maken.

Daar komt bij dat veel overheidsinstanties al toegang hebben tot bankrekeninggegevens van Nederlanders, bijvoorbeeld via het Verwijzingsportaal Bankgegevens.

Toezichthouders zoeken naar data voor ‘machine learning’
Privacy First heeft geconstateerd dat internationale financiële samenwerkingsverbanden zoals de Bank for International Settlements (BIS) bepleiten dat financiële toezichthouders gebruikmaken van kunstmatige intelligentie (artificial intelligence, AI). Die kunstmatige intelligentie moet door middel van persoonsgegevens en andere gedetailleerde gegevens van personen en organisaties (‘granulaire data’) getraind worden. Gevolg van deze veronderstelling is dat de toezichthouders proberen aan zoveel mogelijk granulaire data te komen, waartoe de financiële persoonsgegevens van iedere burger behoren.

Privacy First vindt dat ongewenst en wijst op het advies van de Raad voor het Openbaar Bestuur (ROB) van mei 2021, bekendgemaakt via het nieuwsbericht ‘Politiek moet in actie komen om burgers te beschermen tegen uitdijende datahonger‘. De ROB bepleit een volwassen afweging van de noodzaak om persoonsgegevens aan de overheid te verschaffen, een afweging die in de voorstellen van het ministerie van Financiën ontbreekt.

Grootschalige verwerking van persoonsgegevens door AFM en DNB vindt al plaats
Daar komt nog bij dat zowel AFM als DNB al op grote schaal granulaire data verwerken. Voorbeeld zijn de persoonsgegevens die AFM verwerkt op grond van Mifid 2: weinig beleggers zijn ervan op de hoogte dat de AFM bij iedere aandelenkoop of -verkoop paspoortnummers en/of fiscale nummers en geboortedata van de betrokken belegger ontvangt. Verder ontvangt AFM van pensioenfondsen op grote schaal persoonsgegevens van burgers. DNB ontvangt persoonsgegevens bij uitvoering van het depositogarantiestelsel, onder meer adressen en telefoonnummers, en verwerkt op grote schaal persoonsgegevens in het kader van het witwasbestrijdingstoezicht. Beide toezichthouders ontvangen op grote schaal persoonsgegevens van het Centraal Bureau voor de Statistiek (CBS).

Verantwoording en grondrechtentoetsing gewenst
Privacy First stelt voor dat eerst verantwoording wordt afgelegd van de huidige verwerking van granulaire gegevens door DNB en AFM en dat vervolgens door middel van een adequate grondrechtentoetsing wordt vastgesteld of er wel redenen zijn om financiële instellingen te verplichten extra gegevens te leveren.

Verder achten wij het ongewenst dat de uitwerking van het type persoonsgegevens dat financiële instellingen moeten verschaffen niet plaatsvindt in een wet, maar in een algemene maatregel van bestuur. Voorts is niet transparant hoe de toezichthouders de van financiële instellingen verkregen gegevens gaan koppelen aan andere datasets waarover zij beschikken en dient daar helderheid over te komen. Verschaffing van granulaire data aan internationale organisaties hoort naar de mening van Privacy First niet plaats te vinden.

Tot slot is gewenst dat er onafhankelijk gegevensverwerkingstoezicht op AFM en DNB wordt gecreëerd en dat wordt gezorgd voor andere waarborgen om te voorkomen dat de financiële toezichthouders verkeerd omgaan met persoonsgegevens en andere granulaire data.

 

[*] Consultatie Wet rapportage hypotheekmarkt DNB en Consultatie Wet toezichtondersteunende rapportage AFM. Lees HIER het volledige commentaar van Privacy First bij de DNB-consultatie en HIER ons identieke commentaar bij de AFM-consultatie.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , | Plaats een reactie

Deelname aan consultatie over het Besluit DigiD Zakelijk Belastingdienst

Geplaatst op 4 juli 2024 door Ellen Timmer

Onlangs nam ik deel aan de consultatie over het Besluit DigiD Zakelijk Belastingdienst dat er voor moet zorgen dat kleine ondernemingen gratis met hun DigiD kunnen inloggen bij bepaalde dienstverlening van de Belastingdienst (aankondiging). Ik gaf de volgende reactie:

Uit het consultatiedocument blijkt dat de wijziging geen betrekking heeft op zzp’ers (“Daarnaast kan het middel niet worden gebruikt door eenmanszaken (natuurlijke personen in de uitoefening van beroep of bedrijf) aangezien zij al kosteloos aangifte kunnen doen door gebruik van hun eigen DigiD.”).
In paragraaf 6.1 zegt u dat het alleen gevolgen zou hebben voor “zelfstandig bevoegde bestuurders van rechtspersonen”.
VRAAG: Hoe zit het met vertegenwoordigers (meestal vennoten) van personenvennootschappen (vennootschap onder firma, maatschap, commanditaire vennootschap)? Het is aan te bevelen dat u in de toelichting daar aandacht aan besteedt.

Geplaatst in Belastingrecht, ICT, privacy, e-commerce, Personenvennootschap | Tags: | Plaats een reactie