Stoppen banken met bancair sleepnet? | witwasbestrijding door banken, Wwft, TMNL

Geplaatst op 1 juli 2024 door Ellen Timmer

Vandaag werd bekend dat de vijf banken die samenwerken via Transactiemonitoring Nederland (TMNL) hebben besloten hun project aan te passen.

TMNL: aanpassing werkwijze
TMNL deelde vandaag mee: Transactiemonitoring Nederland past werkwijze aan nieuwe Europese wetgeving aan. Welke aanpassingen dat zijn, wordt niet gezegd, maar wel dat de bestaande activiteiten en capaciteiten worden ‘afgebouwd’. Men schrijft onder meer:

Met deze ‘nieuwe duidelijkheid’ voor ogen gaat TMNL zich nu aanpassen aan deze nieuwe Europese wetgeving die medio 2027 in werking treedt. Het zal enige tijd duren voordat de precieze details van wat daarvoor nodig is volledig duidelijk zijn. Dat geldt ook voor de reorganisatie van de activiteiten van TMNL van de huidige naar nieuwe wettelijke kaders. De vijf banken en TMNL zullen daarvoor nauw samenwerken met uiteenlopende belanghebbenden in zowel Nederland als de EU, waaronder toezichthouders, privacyorganisaties en instanties voor opsporing en vervolging.

Aanzienlijke impact

Er wordt nu begonnen met de planning en het herontwerp van TMNL. Het herontwerp van TMNL zal resulteren in een verandering van focus, personeelsbezetting en structuur van TMNL. Dit gebeurt in volledige samenwerking met alle belangrijke belanghebbenden. Als onderdeel daarvan zal TMNL de komende periode haar bestaande activiteiten en capaciteiten afbouwen. Omdat dit een aanzienlijke impact zal hebben op de mensen die momenteel bij TMNL werkzaam zijn, worden deze stappen zorgvuldig en met aandacht doorlopen.

Op de site van de Nederlandse Vereniging van Banken (NVB) zag ik nog niets over.

Human Rights in Finance.EU: ‘Banken stoppen met onrechtmatige transactiemonitoring bij TMNL!
De stichting Human Rights in Finance.EU (HRIF.EU) die ageert tegen de grondrechtenschendingen die plaats vinden in de geprivatiseerde misdaadbestrijding (‘witwasbestrijding’), schrijft dat de bekendmaking van TMNL verband houdt met de door de stichting in gang gezette actie om TMNL onrechtmatig te laten verklaren, lees HRIF.EU boekt succes: Banken stoppen met onrechtmatige transactiemonitoring bij TMNL! Ook als het sleepnet stopt en de bankiers gesanctioneerd zijn, zijn we nog niet klaar schrijft HRIF.EU:

Is het dan nu klaar?
Nee natuurlijk. Er worden nog steeds teveel ongebruikelijke transacties gemeld met daarin teveel klantgegevens. Er is nog steeds geen fatsoenlijk recht op een betaalrekening. Er is nog steeds discriminatie door algoritme’s.
Maar voor vandaag kunnen we zeggen dat het wel een mooie dag is.

Media
Over de bekendmaking van TMNL schreef Eva smal voor het NRC het artikel Nederlandse banken stoppen met omstreden uitwisseling van transacties. Zij maakt ook melding van de activiteiten van HRIF.EU en besluit met een passage waarin oprichter Lelieveldt meldt dat het handhavingsverzoek van de stichting blijft staan:

Human Rights in Finance laat in reactie op het stoppen van TMNL in de huidige vorm weten dat het handhavingsverzoek bij de rechtbank jegens DNB gewoon blijft staan. Lelieveldt: „Het belang is dat DNB handhaaft tot en met de constatering dat alle verzamelde gegevens en gemaakte algoritmes zijn verwijderd en tot en met de berisping van betrokken bancaire bestuurders.”

Het gevaar voor de burger is nog niet geweken

Als TMNL stopt met haar bancair sleepnet, betekent dat nog niet dat het gevaar voor burgers is geweken. In het door Europa aangenomen AML Package zitten twijfelachtige elementen die tot schending van grondrechten (kunnen) leiden. Het is zaak de activiteiten van de overheid met aandacht te volgen.

 

Op deze plaats heb ik een overzicht gemaakt van de activiteiten van HRIF.EU.
Lees meer op dit blog over TMNL, witwasbestrijding door banken en het AML Package.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , | Plaats een reactie

The misery of US tax compliance – SEAT submission with the IRS | FATCA, Citizenship-Based Taxation

Geplaatst op 30 juni 2024 door Ellen Timmer

The United States treats its own citizens living outside the US disgracefully.
An illustration of this can be found in a civil rights organisation’s participation in a consultation by the US Internal Revenue Service (IRS). SEAT, ‘Stop Extraterritorial American Taxation’, on 26 June announced it filed comments in a IRS consultation:

SEAT Submission to IRS: Reporting of Non-U.S. Pensions, Investments and Gifts
The IRS is currently seeking public comment with respect to “information reporting of transactions with foreign trusts and receipt of large foreign gifts and regarding loans from, and uses of property of, foreign trusts.”
This encompasses the non-U.S. pensions, investments, and gifts received by Americans living in other countries.
Today SEAT filed its comment with the IRS. SEAT’s submission, in two parts, is available here and here.

The second submission refers to a youtube video.

 

 

The first submission is a text (Foreign-Trust-Regulations-SEAT-Comments.pdf) that explains the incorrect treatment of US taxpayers living outside the US. The summary is as follows:

General Approach: The U.S. extra-territorial citizenship-based tax regime applies globally. There are many countries in the world with different ideas about pensions, retirement planning and financial planning. The differences among countries will result in differences in the laws. Yet, most countries have specific retirement/financial vehicles, available to their tax residents, which are designed to facilitate pensions, retirement and financial planning. U.S. citizens who reside in these countries should benefit from these laws in the same way that all other residents may benefit from these laws. Therefore, Treasury’s approach should be guided by identifying laws that are designed to facilitate participation in pensions and retirement planning vehicles. The fact that these laws are not identical to U.S. laws should be immaterial. A Canadian RRSP is functionally equivalent to a U.S. Conventional IRA. A Canadian TFSA is functionally equivalent to a U.S. Roth IRA. A University of Toronto pension is largely equivalent to a University of California pension. Although not technically identical, non-U.S. pension and retirement planning vehicles are functionally equivalent and have an identical purpose to comparable U.S. pension and retirement planning vehicles. Hence, they should NOT be treated by Treasury as though they are “foreign trusts” intended to hide assets from the U.S. Treasury.

It is the equivalence in purpose that should guide Treasury’s thinking.

As a result, SEAT proposes that the IRC 6048 and 6039F regulations be developed as follows:

6048/Form 3520/Form 3520A: SEAT proposes that Treasury clarify in the regulations that the reporting requirements mandated by Internal Revenue Code section 6048 (Forms 3520 and 35320A) should NOT apply to:

Category A: Tax-advantaged Investment/retirement products without regard to whether they meet the definition of “trust”

– Any non-U.S. financial asset exempt from FATCA reporting by Foreign Financial institutions under Annex II of a FATCA IGA;
– Any non-U.S. tax favored foreign financial asset created under the laws of a foreign country and available to all “tax residents” of that country;
– Any entity generating income which is exempt from U.S. taxation under an income tax treaty (the United States has no “tax interest”).

This would create “safe harbors” that would (with the exception of Treausry Regulations) require little technical analysis or understanding by taxpayers, their advisors or their tax preparers.

Category B: Investment/retirement products not in Category A that do meet the definition of foreign “trust”

– Any “foreign trust” which meets the exemptions proposed by Treasury under proposed Treasury Regulations 1.6048-5 (page 39480 of the May 9, 2024 Federal Register)

(This would allow for further “safe harbor” exemption in the event that the Category A “safe harbor” exemption was not met.)

Generally, the combination of “safe harbor” rules found in Categories A and B should result in U.S. citizens NOT being required to file Form 3520, reporting investments associated with retirement accounts and financial planning accounts regardless of where the accounts are located.

We emphasize that exempting these assets from 6048/Form 35320 reporting has no bearing on whether these assets are required to reported under 6038D (Form 8938). We anticipate that in most cases they will be required to be reported under 6038D on Form 8938 as “Foreign Financial Assets” (as foreign pensions already are). In addition, Form 8938 does require that income received from foreign financial assets be identified (meeting part of the intended purpose of Form 3520).

Should this proposal be adopted, Treasury would still receive notice of “foreign financial assets”. Taxpayers would be relieved of the stress, cost (and most importantly) uncertainty surrounding Form 3520.

Geplaatst in Belastingrecht, English - posts in English on this blog, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , | Plaats een reactie

Privacy First: het is ongewenst dat DNB en AFM nog meer financiële persoonsgegevens van Nederlandse burgers ontvangen

Geplaatst op 29 juni 2024 door Ellen Timmer

Het ministerie van Financiën heeft twee internetconsultaties gehouden inzake wetsvoorstellen die het mogelijk moeten maken dat DNB en AFM nog meer persoonsgegevens van Nederlandse burgers verkrijgen dan nu al het geval is (info: blog DNB consultatie, blog AFM consultatie). In de consultatie wordt voorgesteld dat de financiële toezichthouders op grote schaal financiële persoonsgegevens mogen opvragen bij banken en andere financiële instellingen.

Burgerrechtenorganisatie Privacy First heeft aan de consultaties mee gedaan met een reactie die in beide consultaties is ingebracht: reactie DNB, reactie AFM. Het pdf-bestand kan ook hier worden gedownload.

Hierna volgt de tekst.

 

Tekst

aan: Ministerie van Financiën via https://www.internetconsultatie.nl/rapportagehypotheekmarkt/b1 en https://www.internetconsultatie.nl/toezichtsondersteunenderapportageafm/b1

ons kenmerk: SPF20240627

datum: 27 juni 2024

onderwerp: Consultaties ministerie van Financiën:
• Wet rapportage hypotheekmarkt DNB https://www.internetconsultatie.nl/rapportagehypotheekmarkt/b1
• Wet toezichtondersteunende rapportage AFM https://www.internetconsultatie.nl/toezichtsondersteunenderapportageafm/b1

 

Geachte heer/mevrouw,

Stichting Privacy First maakt hierbij graag gebruik van de mogelijkheid om haar visie te geven op de twee consultatievoorstellen die het mogelijk moeten maken voor De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM), hierna ook ‘de financiële toezichthouders’, om op grote schaal van financiële instellingen afkomstige persoonsgegevens te verwerken. [1] Aan beide consultaties wordt deelgenomen door middel van dit document.

Privacy First neemt deel aan de consultaties vanwege de focus van onze organisatie op financiële privacy. Wij constateren dat de bescherming van de financiële persoonsgegevens van Nederlandse burgers gevaar loopt vanwege allerlei ontwikkelingen die bevorderen dat een grootschalige verspreiding van die gegevens plaatsvindt. Eén van die ontwikkelingen is dat de overheid in toenemende mate – soms zonder wettelijke grondslag – op grote schaal persoonsgegevens van burgers verwerkt en analyseert.

De consultatievoorstellen raken alle Nederlanders. Immers, in Nederland beleggen ruim twee miljoen huishoudens, ruim drie miljoen huishoudens hebben een hypotheek en ongeveer acht miljoen Nederlanders hebben een consumptief krediet. Nagenoeg alle Nederlanders hebben een bankrekening, een verzekering of een ander financieel product. In de geconsulteerde voorstellen wordt voorgesteld dat DNB en AFM van banken, verzekeraars en andere financiële instellingen privégegevens van Nederlandse burgers zullen ontvangen. Daarmee zouden deze toezichthouders analyses kunnen maken, inzicht in de markt kunnen krijgen en beter toezicht kunnen houden, zo veronderstelt uw ministerie.

Inleiding

Banken, verzekeraars en andere financiële instellingen vervullen een nutsfunctie in onze maatschappij. Zij bieden essentiële producten aan, waar burgers niet omheen kunnen. Zonder deze producten, bijvoorbeeld een WA-verzekering of een betaalrekening, kunnen burgers niet volwaardig deelnemen aan de maatschappij. Burgers moeten erop kunnen vertrouwen dat hun privacy bij hun bank gewaarborgd is en dat de overheid hun privacy niet stelselmatig schendt door aan de achterdeur bij banken stelselmatig hun data op te vragen en die data vervolgens met elkaar en andere nationale en internationale overheidsinstanties te delen. Dit zou het wettelijke grondrecht op gegevensbescherming tot een dode letter maken.

Op dit moment hebben veel overheidsinstanties al toegang tot bankrekeninggegevens van Nederlanders, bijvoorbeeld via het Verwijzingsportaal Bankgegevens.

DNB en AFM beschikken uit hoofde van hun huidige activiteiten al over veel persoonsgegevens en zouden door middel van de geconsulteerde voorstellen nog meer persoonsgegevens verkrijgen. Dit hoort alleen te gebeuren nadat een behoorlijke grondrechtenafweging heeft plaatsgevonden.

Behoefte aan persoonsgegevens – machine learning

Privacy First constateert dat zowel in het financiële toezicht als bij private ondernemingen in de financiële sector een grenzeloze behoefte aan persoonsgegevens is, vanwege het vermeende nut voor hun activiteiten. De persoonsgegevens worden gebruikt om kunstmatige intelligentie (artificial intelligence, AI) te trainen (machine learning).

In het financiële toezicht wordt door internationale organisaties de grootschalige verwerking van persoonsgegevens bepleit, een voorbeeld daarvan is de Bank for International Settlements (BIS), die een paper publiceerde [2] waarin de auteur in de samenvatting constateert dat persoonsgegevens (‘granular data‘, granulaire data) nodig zouden zijn voor het financiële toezicht:

Critical suptech tools leverage granular data. Financial authorities that have collected granular data historically are able to develop tools that make it more efficient to organise, interrogate and analyse these data. This in turn makes it easier to extract useful insights from them. Hence, it is important for financial authorities to enhance their data collection practices first before pursuing the benefits of data analytics tools.

De auteur concludeert: “Availability of granular data is key” , en elders: “Suptech tools need good-quality granular data” , en geeft daarmee de heersende gedachte weer.

‘Politiek moet in actie komen om burgers te beschermen tegen uitdijende datahonger’

Privacy First is van mening dat uitermate voorzichtig moet worden omgegaan met deze behoefte aan persoonsgegevens en andere granulaire data en brengt het advies van de Raad voor het Openbaar Bestuur (ROB) van mei 2021 in herinnering, bekendgemaakt via het nieuwsbericht ‘Politiek moet in actie komen om burgers te beschermen tegen uitdijende datahonger‘. [3] In het advies ‘Sturen of gestuurd worden?‘ [4] wijst de Raad voor het Openbaar Bestuur volksvertegenwoordigers en bestuurders, maar ook de ambtenaren die hen ondersteunen, op de dringende noodzaak om de legitimiteit van sturen met data te waarborgen.

Een volwassen afweging zoals door de ROB bepleit ontbreekt in beide geconsulteerde voorstellen.

Daar komt nog bij dat zowel AFM als DNB al op grote schaal granulaire data verwerken, waarvan sommige worden verkregen op grond van de huidige financiële wetgeving en sommige omdat de toezichthouders dat nuttig lijken te vinden. Een voorbeeld daarvan zijn de persoonsgegevens die AFM verwerkt op grond van Mifid 2: weinig beleggers zijn ervan op de hoogte dat de AFM bij iedere aandelenkoop of -verkoop paspoortnummers en/of fiscale nummers en geboortedata van de betrokken belegger ontvangt. [5] Voorts ontvangt AFM bijvoorbeeld op grote schaal data van pensioenfondsen, waarin eveneens persoonsgegevens van burgers zijn opgenomen. [6]

DNB ontvangt zeer veel granulaire gegevens in het kader van het door haar uitgevoerde witwasbestrijdingstoezicht. DNB heeft twee jaar geleden bekendgemaakt dat de Bank op grote schaal deze financiële transactiegegevens analyseert:

Bij DNB hebben we een outlier detection tool toegepast in Know Your Customer onderzoeken. We hebben het gebruikt om afwijkende transacties te detecteren in een dataset die miljoenen klanten en bankrekeningen en miljarden transacties bevat. [7] (machinevertaling)

Privacy First vermoedt dat DNB als grondslag voor deze verwerking ‘het toezicht op de witwasbestrijding’ door financiële instellingen hanteert. Privacy First heeft echter ernstige bedenkingen bij de vraag of de toezichtbepalingen wel een grondslag in de zin van de AVG bieden voor een dergelijk grootschalige, gedigitaliseerde verwerking van de betaalgegevens van miljoenen Nederlanders. De vraag kan worden gesteld of deze verwerking wel in lijn is met de AVG. Burgers zijn in ieder geval onbekend met dit soort grootschalige verwerking van persoonsgegevens door DNB.

Een ander doel waarvoor DNB op grote schaal persoonsgegevens ontvangt, is de uitvoering van het depositogarantiestelsel. DNB is op grond van de wet weliswaar bevoegd voor deze taak het BSN van alle Nederlanders bij banken op te vragen, maar DNB lijkt veel verder te gaan dan dat en bijvoorbeeld ook alle adressen en mobiele nummers van burgers op te vragen. [8] Ook hier kan de vraag naar de grondslag worden gesteld.

Voorts nemen zowel DNB als AFM op grote schaal granulaire data (microdata) af van het Centraal Bureau voor de Statistiek (CBS). DNB heeft op dit moment de volgende projecten:

• Financiële buffers en kwetsbaarheden Nederlandse huishoudens en hun implicaties;
• Financiële dynamiek in het bedrijfsleven;
• Analyse producentenprijsontwikkelingen;
• Financiële gevolgen ophoging CO2-heffing.

Ook de AFM heeft diverse projecten gebaseerd op microdata van het CBS:

• Identificatie van kwetsbare huishoudens;
• Krediet en kwetsbaarheid.

In het kader van deze projecten kunnen DNB en AFM beschikken over door het CBS aangelegde verzamelingen gedetailleerde persoonsgegevens van iedereen in Nederland. Zij leggen geen maatschappelijke verantwoording af van deze verwerkingen en het is onduidelijk hoe hun taken zich verhouden tot de voorwaarden waaronder die data beschikbaar worden gesteld door het CBS: het verrichten van statistisch of wetenschappelijk onderzoek. [9]

In geen van beide consultatievoorstellen wordt gerept over de huidige verwerking van granulaire gegevens door de beide financiële toezichthouders. Evenmin wordt gerept over de manier waarop de van financiële instellingen verkregen granulaire gegevens intern bij de toezichthouders kunnen worden gekoppeld of zullen worden verrijkt met granulaire gegevens van derde partijen (zoals die verkregen van CBS). Dat is een groot gemis.

Aanbeveling Privacy First: voer eerst een diepgaande toetsing uit van de huidige verwerking van granulaire data door de financiële toezichthouders en de wettelijke grondslag voor die verwerkingen, voordat wordt voorgesteld dat zij meer granulaire gegevens uit andere bronnen mogen ontvangen.

Grondrechtentoetsing

Privacy First brengt u in herinnering dat verwerking van persoonsgegevens door overheidsinstanties zoals DNB en AFM een inmenging is door het openbaar gezag in de persoonlijke levenssfeer van burgers, zoals vastgelegd in artikel 10 van de Grondwet, artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM), artikel 17 van het IVBPR en artikel 7 van het Handvest van de grondrechten van de Europese Unie (Handvest). Artikel 8, eerste lid, EVRM bepaalt dat eenieder recht heeft op respect voor zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie. Het tweede lid van dat artikel staat inmenging in dit recht alleen toe voor zover die inmenging bij wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen. Het noodzaakcriterium wordt in de jurisprudentie van het Europese Hof voor de rechten van de mens (EHRM) nader ingevuld met de vereisten van een dringende maatschappelijke behoefte, proportionaliteit en subsidiariteit.

De consultatievoorstellen dienen aan deze beginselen te worden getoetst. Deze toetsing ontbreekt in de consultatievoorstellen.

Volgens de toelichting op beide voorstellen zouden de financiële toezichthouders de granulaire gegevens nodig hebben voor hun taken. Een onderbouwing van de noodzaak voor de uitvoering van de taken, in het licht van de gegevens waarover zij nu al beschikken, is in geen van beide consultatievoorstellen aan te treffen.

Zoals hiervoor al aangestipt, verwerken zowel DNB als AFM granulaire data afkomstig van CBS en beschikken zij over zeer veel gegevens, ook persoonsgegevens, vanwege hun toezichthoudende taken. Voorts is van belang dat zowel CBS als het Centraal Planbureau (CPB) onderzoek doen naar en rapporteren over de onderwerpen die in de consultatievoorstellen worden genoemd. Zo brengt het CPB jaarlijks de Risicorapportage Financiële Markten uit. De meest recente is deze maand bekendgemaakt: de Risicorapportage Financiële Markten 2024. [10]

Op zijn minst mag van uw ministerie worden verwacht dat u aangeeft hoe de onderzoeken door en de rapportages van DNB en AFM zich verhouden tot de vele onderzoeken die andere nationale instellingen, zoals CBS en CPB, verrichten.

Privacy First meent dat niet uit de consultatievoorstellen blijkt dat de verwerking een legitiem doel dient en noodzakelijk is. Van een dringende maatschappelijke behoefte dat DNB en AFM persoonsgegevens van burgers verwerken, is niet gebleken. Ook is niet gebleken dat een en ander proportioneel is.

Aanbeveling Privacy First: leg verantwoording af van de huidige verwerking van granulaire gegevens door DNB en AFM en zorg voor een adequate grondrechtentoetsing.

Carte blanche voor de financiële toezichthouders: uitwerking rapportageplicht in AMvB

Op dit moment is nog niet bekend welke persoonsgegevens de financiële toezichthouders zullen gaan opvragen bij financiële instellingen. Immers, dat wordt uitgewerkt in een nog onbekende algemene maatregel van bestuur (AMvB). Privacy First is van mening dat de hiervoor vermelde afweging op het niveau van de wetgeving hoort plaats te vinden en dat het ongewenst is dat de details van de op te vragen persoonsgegevens bij AMvB worden geregeld.

Aanbeveling Privacy First: (als een en ander de grondrechtentoetsing zou doorstaan) geef exact in het wetsvoorstel aan welke granulaire gegevens de financiële instellingen aan de toezichthouders moeten leveren en om welke reden die gegevens nodig zouden zijn. Zonder dat de lijst granulaire data bekend is, is dit wetsvoorstel niet te beoordelen.

Koppeling aan andere datasets

De consultatievoorstellen geven aan dat de van financiële instellingen verkregen gegevens zullen worden gekoppeld aan andere datasets. Niet wordt toegelicht hoe die koppeling zal plaatsvinden, gelet op de pseudonimisering die zal plaatsvinden. Niet wordt toegelicht of koppeling of verrijking met andere datasets leidt tot een risico op heridentificatie.

Aanbeveling Privacy First: (als een en ander de grondrechtentoetsing zou doorstaan) neem in de consultatietoelichting op aan welke datasets de financiële toezichthouders de van financiële instellingen ontvangen gegevens zullen gaan koppelen. Geef voorts aan op welke manier de gegevensbeschermingsrechten van burgers worden gerespecteerd, nu koppeling betekent dat de persoonsgegevens mogelijk leiden tot heridentificatie en/of dat de pseudonimisering bij alle datasets op dezelfde manier zal plaatsvinden.

Gegevensverschaffing aan derden

In het consultatievoorstel inzake DNB wordt voorgesteld dat DNB persoonsgegevens van Nederlandse burgers mag delen met internationale organisaties zoals IMF, FSB en BIS. Ondanks de verzekering dat niet-geanonimiseerde gegevens uitsluitend ten kantore van DNB en dus binnen de digitale omgeving van DNB op de hardware van DNB (on site) met deze internationale organisaties kunnen worden gedeeld, begrijpt Privacy First niet waarom deze organisaties die persoonsgegevens nodig hebben (al dan niet gepseudonimiseerd).

Een behoorlijke toelichting waarom deze gegevensverschaffing nodig zou zijn, ontbreekt geheel.

Aanbeveling Privacy First: (als een en ander de grondrechtentoetsing zou doorstaan) verbiedt de verschaffing van persoonsgegevens aan buitenlandse organisaties, ongeacht of de gegevens gepseudonimiseerd zijn of niet.

Toezicht op gegevensverwerking door AFM en DNB

Op dit moment ontbreekt transparantie over de grootschalige verwerking van granulaire data door AFM en DNB. Als er na een zorgvuldige grondrechtentoetsing voor gekozen zou worden, hoort daarbij dat waarborgen voor de burger worden gecreëerd. Uit rapporten van de Algemene Rekenkamer blijkt dat uw ministerie het toezicht op DNB en AFM maar in zeer beperkte mate handen en voeten geeft. [11] Voorts strekt de wettelijke vrijwaring van AFM en DNB zich ook uit tot fouten bij de verwerking van persoonsgegevens. Als de door AFM en DNB gewenste grootschalige verwerking van persoonsgegevens van burgers de grondrechtentoetsing zou doorstaan, hoort daarbij dat er volwassen waarborgen worden gecreëerd.

Aanbevelingen Privacy First:

• Zorg voor onafhankelijk gegevensverwerkingstoezicht op AFM en DNB.
• Verplicht AFM en DNB tot het jaarlijks laten uitvoeren van onafhankelijke gegevensbeschermingsaudits.
• Verplicht AFM en DNB om publieke verantwoording af te leggen voor hun gegevensverwerkingsactiviteiten.
• Neem in de regelgeving bepalingen op die function creep door de financiële toezichthouders tegengaan.
• Hef de wettelijke vrijwaring van AFM en DNB voor fouten op, tenminste voor zover het de verwerking van granulaire data betreft, zodat benadeelden de financiële toezichthouders kunnen aanspreken als daar aanleiding toe is. Maak het voor burgers makkelijk de toezichthouders aan te spreken door hiervoor bijvoorbeeld een laagdrempelig klachtloket te openen.

Tot slot

Voor nadere informatie of vragen met betrekking tot bovenstaande is Privacy First te allen tijde bereikbaar op telefoonnummer 020-8100279 of per email: info@privacyfirst.nl.

Hoogachtend, namens Stichting Privacy First,
Vincent Böhre directeur

 

[1] De rapportage die financiële instellingen onder het DNB consultatievoorstel moeten verstrekken, betreft weliswaar een rapportage aan de centrale bank afdeling van DNB. Privacy First wijst er echter op dat deze data op grond van de Bankwet vervolgens gedeeld kunnen worden met de toezichtafdelingen van DNB.
[2] Peering through the hype – assessing suptech tools’ transition from experimentation to supervision, FSI Insights on policy implementation No 58, juni 2024.
[3] https://www.raadopenbaarbestuur.nl/actueel/nieuws/2021/05/25/politiek-kom-in-actie-omburgers-te-beschermen-tegen-uitdijende-datahonger
[4] https://www.raadopenbaarbestuur.nl/documenten/publicaties/2021/05/25/advies-sturen-ofgestuurd-worden
[5] https://www.esma.europa.eu/sites/default/files/library/esma-20161452_guidelines_mifid_ii_transaction_reporting_nl.pdf
[6] https://www.afm.nl/nl-nl/sector/pensioenuitvoerders/datagedreven-toezicht/toezichtrapportagetweedepijlerpensioenen
[7] Steven Maijoor schreef op linkedin https://www.linkedin.com/posts/stevenmaijoor_how-can-supervisors-use-the-huge-potential-activity-6930955246798020608-UB6J: “At DNB we applied an outlier detection tool in Know Your Customer examinations. We used it to detect anomalous transactions in a dataset that contains millions of customers and bank accounts and billions of transactions.”
[8] https://www.dnb.nl/media/jagnhi1o/dgs-data-delivery-manual-v3-3-december-2022.pdf, zie pagina 14.
[9] https://www.cbs.nl/nl-nl/onze-diensten/maatwerk-en-microdata/microdata-zelf-onderzoek-doen
[10] https://www.rijksoverheid.nl/documenten/rapporten/2024/06/12/publicatie-risicorapportagefinanciele-markten-2024
[11] Zie onder meer het bericht Toezicht op banken in Nederland, 27 september 2017, https://www.rekenkamer.nl/publicaties/rapporten/2017/09/27/toezicht-op-banken-in-nederland: “Het ministerie van Financiën geeft, waar het gaat om het bankentoezicht, beperkt invulling aan zijn rol als toezichthouder op DNB. De invoering van het gemeenschappelijk toezichtmechanisme voor banken heeft ertoe geleid dat rekenkamers belemmeringen ondervinden bij hun onafhankelijke controle van het bankentoezicht. (…) Aan de minister van Financiën bevelen wij aan (…) om vaker en beter invulling te geven aan zijn rol als toezichthouder op DNB waar het om bankentoezicht gaat. Ook bevelen wij de minister aan in Europa een structurele oplossing te vinden voor de belemmeringen die rekenkamers ondervinden bij het onafhankelijke toezicht op het bankentoezicht.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , | Plaats een reactie

Wetsvoorstel verbod op betaling met contanten vanaf 3000 euro aangenomen door de Tweede Kamer | Wwft

Geplaatst op 28 juni 2024 door Ellen Timmer

Het eerder ingediende antiwitwaswetsvoorstel wordt blijkens de brief die  de minister van Financiën aan de Tweede Kamer gestuurd beperkt tot een verbod op betaling met contanten:

Uw Kamer is recent geïnformeerd over de gevolgen van het akkoord op het pakket met Europese wetgevende voorstellen op het terrein van het voorkomen van witwassen en financieren van terrorisme (AML-pakket) op het wetsvoorstel plan van aanpak witwassen. 1 Tijdens het commissiedebat bestrijding van witwassen en terrorismefinanciering van 24 april jl. heb ik met uw Kamer gesproken over mijn voorstel om het wetsvoorstel met een nota van wijziging te beperken tot het verbod op contante betalingen vanaf € 3.000 en de overige maatregelen mee te nemen in het bredere implementatietraject van het AMLpakket. Naar aanleiding hiervan heeft uw Kamer besloten om het wetsvoorstel van de lijst met controversiële onderwerpen te halen.

Hierbij bied ik u, mede namens de minister van Justitie en Veiligheid, de nota naar aanleiding van het verslag inzake het bovenvermelde voorstel alsmede een nota van wijziging aan.

1 Kamerstukken II 2023/24, 31 477, nr. 98.

Meer informatie, recent: aanbiedingsbrief, nota van wijziging, nota naar aanleiding van het verslag, beslisnota’s.
Wetsvoorstel plan van aanpak witwassen, 36228, dossier Eerste Kamer, dossier overheid.nl.
In de media wordt het voorstel onder meer gemeld door security.nl, tweakers, privacynieuws.

 

Aanvulling 26 oktober 202:

Wetsvoorstel is door de Tweede Kamer aangenomen

Het voorstel om contante betaling vanaf 3000 euro te verbieden is op 24 september door de Tweede Kamer aangenomen, zie het verslag van de plenaire vergadering over het wetsvoorstel, gewijzigd door amendementen. Voor het wetsvoorstel waren: SP, GroenLinks-PvdA, PvdD, Volt, D66, NSC, VVD, ChristenUnie en CDA. Tegen stemden: DENK, SGP, BBB, JA21, FVD en PVV.

Het gewijzigde wetsvoorstel is nu bij de Eerste Kamer in behandeling.

Acceptatieplicht contante betaling
Op 21 oktober is advies gevraagd aan de ECB inzake acceptatieplicht van contant geld. Op 23 oktober werd de brief van de minister van Financiën over dit onderwerp bekend, waarin onder meer (noten verwijderd):

Bij de stemmingen over het voorstel voor de Wet plan van aanpak witwassen heeft de Tweede Kamer het amendement-Dijk/Flach over een acceptatieplicht voor contant geld bij kleine betalingen aangenomen. (…)

Ook ik vind het van groot belang dat contant geld breed geaccepteerd blijft aan de toonbank. Veel mensen zijn afhankelijk van het gebruik van contant geld, omdat zij moeite hebben met elektronische vormen van betalen. Daarnaast is er een groep mensen die liever contant betaalt of de mogelijkheid wil hebben om dat te doen. Verder is contant geld de belangrijkste terugvaloptie bij verstoringen in het elektronische toonbankbetalingsverkeer. Een acceptatieplicht draagt bij aan die belangen en moet tegelijkertijd proportioneel en uitvoerbaar zijn voor toonbankinstellingen. (…)

In beginsel zou die acceptatieplicht er moeten komen, maar wel met wat uitzonderingen, waarover nog wordt gediscussieerd. De brief eindigt met:

Contant geld dient belangrijke maatschappelijke belangen en moet daarom breed geaccepteerd worden. De door de Tweede Kamer voorgestelde acceptatieplicht roept een aantal uitwerkingskwesties op. Daarom heb ik het amendement voor advies voorgelegd aan de ECB en ben ik begonnen met de voorbereidingen voor een uitvoeringsbesluit, zodat de voorgestelde acceptatieplicht zo spoedig mogelijk in werking kan treden, mocht uw Kamer het wetsvoorstel aannemen.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , | Plaats een reactie

Toezichthouders actualiseren Wwft-uitvoeringsregels

Geplaatst op 27 juni 2024 door Ellen Timmer

Diverse Wwft-toezichthouders actualiseren de uitvoeringsregels, die worden uitgebracht onder de naam ‘leidraden’.

De Autoriteit Financiële Markten (AFM) maakte op 5 juni jl. bekend dat de leidraad voor de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) en Sanctiewet 1977 (Sw) is aangepast. De toezichthouder schrijft dat onderzoeksbevindingen, de toegenomen aandacht voor sanctieregelgeving en een nadere toelichting op de risicogebaseerde aanpak aanleiding zijn voor de update.

Ook Bureau Financieel Toezicht (BFT) is aan het updaten en houdt er een consultatie over (aankondiging).

Ook de dekens van de Nederlandse Orde van Advocaten hebben de regels aangepast, lees het artikel bij Mr.

Het doet allemaal merkwaardig aan het licht van de ingrijpende wijzigingen die in aantocht zijn als gevolg van het recent aangenomen AML Package. Het zou beter zijn als zowel toezichthouders als witwasbestrijdingsplichtigen veel energie zouden steken in de voorbereiding op alle veranderingen en op het mitigeren van de te verwachten grondrechtenschendingen die een gevolg zijn van de nieuwe regels.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft | Tags: , , , , , , | Plaats een reactie

AML Package is in het Europese staatsblad gepubliceerd

Geplaatst op 27 juni 2024 door Ellen Timmer

Op 19 juni jl. zijn de definitieve teksten van het AML Package in  het Europese staatsblad gepubliceerd:

 

AMLR, de antiwitwasverordening
Deze verordening zal de antiwitwasregels in Europa ingrijpend wijzigen en kan zorgen voor een financiële surveillance maatschappij (blog).

# overzichtspagina verordening
# Nederlandstalige versie van de verordening, met hoofdstuk III over  het klantenonderzoek, en hoofdstuk IV over de ubo-transparantie en in hoofdstuk V het melden van ‘vermoedens’ van criminele activiteiten en transacties met uit criminaliteit afkomstig geld [*]
# dossier Europees Parlement

 

AMLD, de antiwitwasrichtlijn
In deze richtlijn is onder meer opgenomen dat het ubo-register de facto openbaar wordt en ontbreken waarborgen voor de ubo’s (blog).

# overzichtspagina richtlijn
# Nederlandstalige versie van de richtlijn, met in hoofdstuk II het ubo-register en de toegang tot vastgoedgegevens (heeft voor Nederland mogelijk beperkte gevolgen)
# dossier Europees Parlement

 

AMLAR, de verordening die de antiwitwasautoriteit AMLA regelt
Deze autoriteit zal mogelijk gaan zorgen voor een stortvloed van regels en hoeft geen verantwoording aan de burger af te leggen (blog).

# overzichtspagina verordening
# Nederlandstalige versie van de verordening
# dossier Europees Parlement

 

Richtlijn toegang transactiegegevens
Deze richtlijn vult de bestaande richtlijn aan en moet makkelijke Europese koppeling van alle transactiegegevens mogelijk maken. Zie over de toegankelijkheid van bankrekeninginformatie ook hoofdstuk II AMLD.

# overzichtspagina richtlijn
# Nederlandstalige versie van de richtlijn
# dossier Europees Parlement

 

Verordening over het meesturen van gegevens bij iedere financiële transactie
(Regulation on information accompanying transfers of funds and certain crypto-assets)
Deze verordening, die ook deel uitmaakt van het pakket, is al eerder vastgesteld en in werking getreden.

# overzichtspagina verordening
# dossier Europees Parlement

 

 

[*] Zie artikel 69 lid 1 AMLR, er moet worden gemeld “indien de meldingsplichtige entiteit weet, vermoedt of redelijkerwijs kan vermoeden dat geldmiddelen of activiteiten, ongeacht het bedrag, opbrengsten van criminele activiteiten zijn of verband houden met terrorismefinanciering of criminele activiteiten“.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce, Sanctieregels, Ubo-register, Verwijzingsportaal Bankgegevens | Tags: , , , , , , | Plaats een reactie

bunq schandaal laat zien dat De Nederlandsche Bank faalt | cybersecurity, financieel toezicht

Geplaatst op 27 juni 2024 door Ellen Timmer

Het nieuwste schandaal [*] rond online bank bunq werd bekend gemaakt door het NRC die gisteren schreef:

Werknemers van de Amsterdamse onlinebank bunq bekeken salarissen van collega’s of bespioneerden ex-geliefden. „Alles stond altijd open.”

Uit het artikel (ook gemeld door security.nl) blijkt dat de bank de meest basale beveiligingsmaatregelen niet had genomen.

Niet alleen bunq heeft gefaald: de gang van zaken laat zien dat het toezicht van De Nederlandsche Bank (DNB) niets voorstelt, terwijl DNB zich wel met cybersecurity bezig houdt. Eerder schreef ik over de blinde vlek van DNB inzake veilige communicatie met de klant en constateerde ik dat DNB moet nagaan of financiële instellingen de AVG naleven.

Het is hoog tijd om kritisch naar het functioneren van DNB te gaan kijken.

 

[*] Lees dit over een eerdere rel.

 

Aanvulling 10 juli 2024
Op netkwesties verscheen een artikel van Peter Olsthoorn, waarin hij aandacht geeft voor het standpunt van bunq (zie onder meer linkedin). Er wordt door Olsthoorn in zijn artikel melding gemaakt een mededeling van Jeroen van Glabbeek, directeur en mede-eigenaar van het beursgenoteerde CM.com, die zegt dat de onrechtmatige toegang tot bankgegevens ook bij andere banken zou voorkomen:

“NRC noemt in de titels van artikelen stelselmatig alleen bunq, terwijl alle eventuele misstanden die bij bunq zouden kunnen spelen, in werkelijkheid in de hele financiële sector spelen. Immers, ook de grootbanken hebben te maken met veeleisende managers, helpdesk fraude en ongeoorloofde toegang tot rekeningen door personeel.”

Dat geeft nog meer zorgen over het toezicht door DNB.

Aanvulling 25 juli 2024
bunq heeft het kort geding tegen het NRC verloren, lees de uitspraak. De inhoudsindicatie van de rechtspraak: “NRC hoeft een artikel over Bunq niet te rectificeren. Dat heeft de voorzieningenrechter bepaald. NRC heeft een artikel geschreven over medewerkers van Bunq die voor privé-doeleinden in klantrekeningen hadden gekeken. Bunq had om rectificatie gevraagd, onder andere omdat zij vond dat NRC ten onrechte had geciteerd uit interne communicatie. De voorzieningenrechter heeft bepaald dat het gebruik van de interne communicatie in dit geval niet onrechtmatig is.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce | Tags: , , , , , , | 2 reacties

Symposium door DNB en AFM over financieel toezicht met AI

Geplaatst op 26 juni 2024 door Ellen Timmer

Financiële toezichthouder De Nederlandsche Bank (DNB) kondigt aan dat op 5 juli a.s. samen met de AFM een symposium gericht op de financiële sector wordt gehouden, met als onderwerp de impact van AI op de financiële sector en het toezicht daarop.
Er wordt verwezen naar een eerder uitgebracht rapport over de gevolgen van AI voor de sector (aankondiging april 2024).

Gebruik van AI door de financiële toezichthouders
Het symposium en het rapport gaan niet over het gebruik van AI door de toezichthouders zelf, terwijl zowel DNB als AFM druk bezig zijn met analyse door middel van AI van persoonsgegevens van burgers en organisaties. Zo liet Steven Maijoor van DNB twee jaar geleden al weten:

At DNB we applied an outlier detection tool in Know Your Customer examinations. We used it to detect anomalous transactions in a dataset that contains millions of customers and bank accounts and billions of transactions

wat bij mij de vraag opriep op welke wettelijke grondslag dit is gebaseerd.
Op 19 maart jl. werd gemeld dat DNB’s ‘ChatDNB‘ door Central Banking is uitgeroepen tot het initiatief van het jaar.

Microdata
AI is belangrijk voor de analyses die DNB en AFM willen uitvoeren met van de financiële sector te verkrijgen microdata (granulaire gegevens), waarover momenteel twee consultaties lopen (blog consultatie microdata DNB, blog consultatie microdata AFM).

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , | Plaats een reactie

Wordt het nog wat met de rechtsstaat? | De gebroken belofte van de rechtsstaat – De overheid moet haar gedrag veranderen, niet meer systemen maken – Blind voor mens en recht

Geplaatst op 25 juni 2024 door Ellen Timmer

De afgelopen tijd is er een flinke oogst aan schuldbewuste overheidspublicaties, waaruit hierna een greep volgt:

De gebroken belofte van de rechtsstaat, juni 2024
Op 10 juni 2024 overhandigde de Staatscommissie rechtsstaat haar rapport aan burgers en vertegenwoordigers van regering, rechtspraak en parlement (aankondiging, rapport, publieksversie)

De overheid moet haar gedrag veranderen, niet meer systemen maken, mei 2024
Het jaarverslag Nationale ombudsman, Kinderombudsman en Veteranenombudsman werd aangekondigd onder de titel ‘De overheid moet haar gedrag veranderen, niet meer systemen maken‘ (aankondiging 21 mei jl., jaarverslag). Binnenlands Bestuur schreef er op 21 mei 2024 over: Ombudsmannen: overheid moet haar gedrag veranderen.

Blind voor mens en recht, februari 2024
Op 26 februari jl. werd het eindrapport ‘Blind voor mens en recht’ van de parlementaire enquêtecommissie Fraudebeleid en Dienstverlening (PEFD), door de commissie gepresenteerd (rapport). De kabinetsreactie staat hier.

Die vele publicaties over een falende Nederlandse overheid lijken nog niet veel praktisch effect te hebben, want de surveillance-wet WGS is aangenomen en Nederland heeft medewerking verleend aan de grondrechten schendende Europese antiwitwaswetgeving die in mei definitief is gemaakt.

Of het nieuwe ‘law & order’ kabinet van Schoof het tij gaat keren, is de vraag.

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , , , | Plaats een reactie

Bij de moderne overheid is kritiek verboden | Huijer over het coronabeleid

Geplaatst op 24 juni 2024 door Ellen Timmer

Marli Huijer, emeritus hoogleraar publieksfilosofie, schreef voor De Groene een kritisch essay onder de titel “Hoe tijdens corona de pluraliteit uit Nederland verdween ‘Het virus is niet vatbaar voor discussie’” over een overheid die in de coronajaren weigerde kritische bevraging van het beleid toe te staan:

In de coronajaren handelde de overheid vanuit één perspectief: dat van de volksgezondheid. Kritische bevraging, bijvoorbeeld over wat dit betekende voor onze vrijheid, cultuur, de jeugd, werd weggezet als ‘dwarsdenken’.

Huijer vindt dat de overheid het slecht heeft gedaan. Misschien dat  het coronabeleid effect heeft gehad (ook al wordt dat betwist), in ieder geval is er verder veel mis gegaan, besluit zij:

Kijken we naar waarden die niet in cijfers zijn uit te drukken of pas op lange termijn, dan zien we dat de epidemie en de aanpak ervan grote impact hebben gehad op de leerprestaties en sociaal-emotionele ontwikkeling van jongeren, de psychische gesteldheid van tieners, twintigers en dertigers, op vriendschappen, familierelaties en de bredere sociale cohesie, op de economie, staatsschuld, cultuursector, horeca en het openbaar vervoer, op de mate van surveillance en privacy-aantasting, het vertrouwen in wetenschap en politiek, en de maatschappelijke en politieke betrokkenheid van burgers. Kortom op het bestaan in een democratie.

Zij bepleit een ander besluitvormingsmodel voor crisissituaties, waar de burgers beter bij worden betrokken.

Geplaatst in Grondrechten | Tags: , | Plaats een reactie