HRIF.EU: Stapt DNB over haar schaduw heen en stopt ze het bancaire sleepnet TMNL? | Wwft

Geplaatst op 16 juni 2024 door Ellen Timmer

Human Rights in Finance.EU (HRIF.EU) publiceerde op 8 juni jl. het artikel Stapt DNB over haar schaduw heen en stopt ze het bancaire sleepnet TMNL?.
Daarin wordt gemeld wat de stand van zaken is van de procedure die HRIF heeft aangespannen tegen De Nederlandsche Bank omdat die toezichthouder weigert handhavend op te treden tegen de bancaire activiteit Transactiemonitoring Nederland (TMNL). Het betreft uitbesteding van transactiemonitoring waarvoor de wettelijke grondslag ontbreekt.

Geplaatst in Bankrekening krijgen en behouden, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , | Plaats een reactie

Wordt de honger van DNB naar persoonsgegevens gestild? | consultatie Wet rapportage hypotheekmarkt DNB

Geplaatst op 15 juni 2024 door Ellen Timmer

De financiële toezichthouders hebben een grote behoefte aan persoonsgegevens [1], zo constateerde ik naar aanleiding van de consultatie Wet toezichtondersteunende rapportage AFM [2].
De Nederlandsche Bank (DNB) heeft gelijksoortige behoeften, die worden vervuld door middel van het geconsulteerde voorstel voor de Wet rapportage hypotheekmarkt DNB (aankondiging). De consultatie loopt tot 1 juli a.s.

De kernbepaling is het voorstel voor artikel 9da Bankwet 1998, waarin banken, beleggingsinstellingen, pensioenfondsen en verzekeraars worden verplicht om bij algemene maatregel van bestuur te bepalen granulaire gegevens (microdata) op leningniveau over hypothecaire leningen aan DNB te verschaffen. De persoonsgegevens worden gepseudonimiseerd. Er bestaat ook belangstelling voor de kredietverlening door fintech ondernemingen, crowdfundingplatforms en niet-bancaire leningverstrekkers, dus mogelijk worden zij in de toekomst toegevoegd.
Over de manier waarop de gegevens afkomstig van verschillende financiële instellingen worden gekoppeld, rept het consultatievoorstel niet. Mogelijk dat dit wordt gerealiseerd via het systeem van pseudonimisering.

Over de te verwerken persoonsgegevens zegt de consultatietoelichting onder meer:

De rapportageverplichting leidt bij de rapportageplichtige partijen die gegevens moeten verstrekken over woninghypotheken tot verwerking van persoonsgegevens, waaronder financiële gegevens van personen aan wie een hypothecaire lening is verstrekt. Door deze rapportageplichtige partijen te verplichten de gegevens te pseudonimiseren 4 bij aanlevering, betreffen de gerapporteerde gegevens voor DNB geen direct herleidbare persoonsgegevens. Met de huidige digitale mogelijkheden kan echter niet geheel worden uitgesloten dat (een deel van) de gegevens tot individuen herleid zouden kunnen worden, bijvoorbeeld als gegevens zouden worden gekoppeld met andere (openbaar) beschikbare gegevens. Daarom wordt in het voorgestelde wettelijke kader en door DNB als verwerkingsverantwoordelijke partij voorzien in verschillende waarborgen om de zorgvuldige gegevensverwerking van de personen op wie de gegevens betrekking hebben te garanderen (zie hiervoor paragraaf 2.5 het algemeen deel van deze toelichting). Hierbij is relevant te vermelden dat de taken van DNB zich niet richten op (individuele) burgers. De gegevens worden door DNB dus in geen geval gebruikt om besluiten te nemen ten aanzien van individuele burgers.

4 Zie artikel 4 van de Algemene verordening gegevensbescherming. Pseudonieme gegevens zijn persoonsgegevens die niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.

Volgens de toelichting zou DNB granulaire gegevens (microdata) nodig hebben voor zowel haar statistische taak als haar financiële stabiliteitstaak. Mij wordt ondanks het gloedvolle betoog niet duidelijk waarom die gepseudonimiseerde persoonsgegevens nodig zijn. Aangezien er wordt gesproken over koppeling aan ‘een andere gegevensset’, is dat mogelijk de reden (want die mogelijkheid hebben individuele leningverstrekkers waarschijnlijk niet).

Woninghypotheken
Over woninghypotheken vermeldt de toelichting:

Een gegevensset m.b.t. hypothecaire leningen voor woninghypotheken zal bestaan uit de volgende typen gegevens: gegevens over de hypothecaire lening, gegevens over het onderpand, gegevens over de risicokarakteristieken van de hypothecaire lening en gegevens over de tegenpartij (leningnemer). Daarbij kan bijvoorbeeld gedacht worden aan de volgende data-attributen: aanvangsdatum contract, looptijd, rente, aflossingstype, vier cijfers van de postcode, energielabel, liquidatiewaarde, wanbetalingsstatus, schatting van verlies bij wanbetaling, geboortejaar leningnemer en toetsinkomen leningnemer bij aanvang van de lening.

en in verband daarmee over de herleidbaarheid:

Minimalisatie herleidbaarheid
Ook wordt geborgd dat de rapportage zo min mogelijk gegevens bevat die de kans op herleidbaarheid naar individuen vergroot. In combinatie met gebruikmaking van andere databronnen, zouden de data-attributen ‘geboortejaar’, ‘vier cijfers van de postcode’ en gegevens m.b.t hoogte van het inkomen van de leningnemer (onbedoelde) herleidbaarheid mogelijk kunnen maken. Het feit dat relatief jonge en oude leningnemers minder vaak voorkomen in de totale populatie leningnemers, maakt dat de herleidbaarheid naar individuen bij relatief jonge en oude leningnemers groter is. Daarom zal in de algemene maatregel van bestuur worden vastgelegd dat rapportageplichtige partijen voor relatief jonge en oude leningnemers (leningnemers jonger dan 25 jaar en ouder dan 87 jaar) geen informatie rapporteren over het geboortejaar van een leningnemer, maar uitsluitend aangeven dat de lener “oud” of “jong” is. Ook zal in de algemene maatregel van bestuur worden opgenomen dat rapportageplichtige partijen voor woninghypotheken uitsluitend de vier cijfers van de postcode rapporteren en in een postcodegebied met 100 of minder woningen geen informatie rapporteren over de postcode. De lijst van niet toegestane postcodes zal worden gebaseerd op een bestaand jaarlijks bestand van kerncijfers per postcode van het CBS. Ook de aggregatie van kleine postcodegebieden tot en met 100 woningen in de gegevensset heeft als doel om (onbedoelde) herleidbaarheid in de gegevensset zo veel mogelijk te beperken. Ook zou informatie over het precieze inkomen van een leningnemer herleidbaarheid kunnen opleveren. Daarom wordt in de algemene maatregel van bestuur vastgelegd dat gegevens m.b.t. inkomen van leningnemers (zoals bijvoorbeeld het toetsinkomen van de leningnemer bij aanvang van de lening) in de rapportage worden afgerond op duizendtallen.

Er vindt koppeling aan andere datasets plaats, aldus de toelichting:

Daarnaast zal DNB op grond van de genoemde AVG-beoordeling een toets inrichten om zeker te stellen dat de gerapporteerde gegevens met betrekking tot woninghypotheken niet kunnen worden gekoppeld aan een andere gegevensset, op een wijze die de herleidbaarheid naar personen zou kunnen vergroten.

Welke datasets dat zijn, wordt niet vermeld.

Langdurig volgen
Helder is dat DNB iedere individuele lening langdurig wil kunnen volgen:

Bij algemene maatregel van bestuur zal, ter nadere invulling hiervan, worden bepaald dat de sleutel die voor pseudonimisering van het leningkenmerk wordt gebruikt voor de hypothecaire lening een kenmerk oplevert (dat voor DNB niet herleidbaar is tot een individuele betrokkene) dat door de jaren heen onveranderd blijft. Dit zodat DNB daarmee de desbetreffende hypothecaire lening over de tijd heen kan volgen.

Ik vermoed dat er meer bestuursorganen zijn met deze behoefte. En de kampioen microdata is waarschijnlijk CBS.

Gegevensverschaffing aan derden
Het wordt specifiek mogelijk gemaakt dat DNB de gegevens mag delen met internationale organisaties als IMF, FSB en BIS, waarbij de vraag rijst waarom die organisaties gepseudonimiseerde persoonsgegevens zouden moeten krijgen.
Deze tekst in de toelichting is nietszeggend (noot verwijderd):

Ook mag het gebruik van de gegevens door de internationale organisaties niet leiden tot verdere verspreiding daarvan. Daarom wordt in het wettelijk kader opgenomen dat niet geanonimiseerde gegevens uitsluitend ten kantore van DNB en dus binnen de digitale omgeving van DNB op de hardware van DNB (on site) met deze internationale organisaties kunnen worden gedeeld.

Op pagina 21 wordt het zo gezegd:

Als er behoefte bestaat aan granulaire niet-geanonimiseerde hypothecaire gegevens, regelt het nieuwe tweede lid dat de organisaties de gegevens uitsluitend ten kantore van DNB kunnen inzien en dus binnen de digitale omgeving van DNB, op de hardware van DNB. Dit om verdere verspreiding van de gegevens en daarmee vergroting van de kans op herleidbaarheid ervan tegen te gaan

De onderbouwing van de noodzaak ontbreekt hier.

Tot slot
De algemene trend is dat bestuursorganen altijd wel goede redenen aangeven om microdata te willen hebben. Dit is nog maar het begin.

 

 

Noten:

[1] Zie Gaan DNB en AFM nu alles doen wat de AVG-God verboden heeft?, 5 augustus 2023; Datahonger van de datagedreven overheid | wensenlijstje AFM, 1 mei 2021.

[2] De AFM-consultatie wordt in § 3.3 gemeld, waarbij wordt gesteld: “Er zijn echter ook belangrijke verschillen. Het voorstel voor de Wet toezichtrapportage AFM heeft als doel de AFM in staat te stellen om haar toezichtcapaciteit zo gericht mogelijk in te zetten, door risicogestuurde keuzes datagedreven te onderbouwen en richt zich op alle aanbieders van hypothecair krediet (en niet op schuldeisers van hypothecaire leningen en ook niet op hypothecaire leningen voor zakelijk vastgoed, zoals de onderhavige rapportageverplichting). Verder is de gegevensset die van belang is voor het toezicht van de AFM niet hetzelfde als de gegevensset die DNB nodig heeft voor haar statistische taak en haar financiële stabiliteitstaak en wijkt ook de periodiciteit van de rapportage af. Om die reden is gekozen twee wetsvoorstellen voor te bereiden.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , | Plaats een reactie

Stand van zaken nieuwe Europese wetgeving privatisering misdaadbestrijding (‘witwasbestrijding’ en bestrijding terrorismefinanciering) | AML Package

Geplaatst op 15 juni 2024 door Ellen Timmer

Het pakket aan regelgeving dat de regels inzake de privatisering misdaadbestrijding, ook bekend als ‘witwasbestrijding’ en bestrijding terrorismefinanciering, ingrijpend zal veranderen is in april door het Europees Parlement geaccordeerd (blog) en eind mei door de Europese Raad goedgekeurd, zie het persbericht van de Raad.

Het ministerie van Financiën heeft beweerd dat er niet zoveel zal veranderen, wat naar mijn indruk onjuist is, al is het maar vanwege de regelgevende bevoegdheid van de Authority for Countering Money Laundering and Financing of Terrorism (AMLA) en de vele lidstaatopties. Lees mijn artikel over AMLR.

Op dit moment zijn er de volgende teksten bekend:

AMLR (verordening)
# Text adopted by Parliament, 1st reading/single reading,
# door de Raad bekend gemaakte tekst.

AMLD (richtlijn)
# Text adopted by Parliament, 1st reading/single reading,
# door de Raad bekend gemaakte tekst.

AMLA richtlijn
# Text adopted by Parliament, 1st reading/single reading,
# door de Raad bekend gemaakte tekst.

Richtlijn toegang bankgegevens
# Text adopted by Parliament, 1st reading/single reading
# door de Raad bekend gemaakte tekst.

Verordening over het meesturen van gegevens bij iedere betaling
(Regulation on information accompanying transfers of funds and certain crypto-assets)
Deze verordening, die ook deel uitmaakt van het pakket, is al eerder vastgesteld en in werking getreden, zie de overzichtspagina EUR-lex.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, Verwijzingsportaal Bankgegevens | Tags: , , , , | Plaats een reactie

Nieuwe internetconsultatie over de sanctieregelgeving

Geplaatst op 14 juni 2024 door Ellen Timmer

Een nieuwe internetconsultatie over de sanctieregelgeving ging op 7 juni van start, die loopt tot en met 9 augustus a.s. (aankondiging, startpagina consultatiesite), eerder is er een ‘preconsultatie’ gehouden. Uit de aankondiging blijkt dat de regering denkt dat sancties zinvol en effectief kunnen zijn en dat de voorgestelde regels daar aan zouden bijdragen.

Hierna enige aantekeningen naar aanleiding van het voorstel.

Volgens de aankondiging houdt het consultatievoorstel onder meer het volgende in:

* een centraal meldpunt voor sanctiemeldingen;
* de mogelijkheid om in bepaalde openbare registers aantekeningen te plaatsen bij een relatie met gesanctioneerde personen of organisaties;
* de uitbreiding van het huidige bestuursrechtelijke toezicht naar juridische beroepsgroepen;
* een regeling voor het beheer en bewind van bepaalde (langdurig) bevroren tegoeden en economische middelen;
* introduceren van bestuursrechtelijke handhaving in aanvulling op het strafrecht en verbeterde grondslagen voor informatie-uitwisseling.

Het consultatievoorstel bevat een losse wet, ‘Wet internationale sanctiemaatregelen‘ (‘Wis’), die zal bestaan naast de gewijzigde Sanctiewet 1977 (‘Sw’).

De Wis bevat een meldingsplicht (§ 3.2). Hoofdstuk 4 Wis zal regels bevatten over hoe ‘instellingen’ (in de Sw gedefinieerd) hun bedrijfsprocessen moeten inrichten (nog niet ingevuld, waarschijnlijk zal net als in de witwasbestrijding bewijs moeten worden geleverd van de inspanningen om sanctieovertredingen te signaleren).
Hoofdstuk 5 Wis bevat een voorstel voor ‘Bepalingen over de continuïteit en afwikkeling van ondernemingen‘ met de mogelijkheid om een stille bewindvoerder aan te wijzen. Hoofdstuk 6 Wis regelt de gevolgen van bevriezing van registergoederen (zoals vastgoed). In hoofdstuk 7 Wis is een zwaar arsenaal aan handhavingsregels opgenomen volgens het in het financiële recht bekende stramien met in § 7.1.3 extra bepalingen tegen ontduikers van de regels, inclusief openbaarmaking van sancties. Hoewel er al strafrechtelijke handhaving mogelijk is, wil men bestuursrechtelijke handhaving toevoegen met als motief volgens de consultatietoelichting:

Een belangrijke reden voor de introductie van een duaal handhavingsstelsel is dat het strafrecht niet in alle gevallen voldoende proportioneel inzetbaar is gebleken bij schendingen waarbij de ernst en omvang gering is, of waar het handhavingsdoel vooral herstellend is. Om ervoor te zorgen dat schendingen met voldoende passende middelen kunnen worden afgedaan is besloten tot de introductie van bestuursrechtelijke handhaving. Dit doet recht aan het karakter van het strafrecht als ultimum remedium en is temeer noodzakelijk nu het aantal schendingen, waarmee uitvoeringsorganisaties en toezichthouders te maken krijgen, toeneemt als gevolg van een toename in de inzet van het sanctie-instrument. (…)

Bij beperkte en milde schendingen is het wenselijk dat er de mogelijkheid is om bestuursrechtelijk op te treden. Via het bestuursrecht kunnen personen en bedrijven in voorkomende gevallen sneller en proportioneler gecorrigeerd worden.

Ik ben benieuwd of financieelrechtelijke experts dit relaas onderschrijven. Net als in de witwasbestrijding zal de Nederlandse lappendeken van toezichthouders aan de slag gaan met het handhavingsintrumentarium, ieder met een eigen interpretatie.

Gegevensverwerking
De gegevensverwerking, ook van persoonsgegevens, is onderwerp van hoofdstuk 8 Wis. Onder meer kan het ministerie van EZK “de eigendomsverhoudingen van of zeggenschap over in Nederland gevestigde ondernemingen” vaststellen of beoordelen “ten aanzien van de verenigbaarheid met sanctiemaatregelen” (artikel 8.2.2). Daarbij kunnen allerlei registers worden geraadpleegd, zoals het handelsregister, het kadaster en de basisregistratie personen en kan dat ministerie gegevens bij andere bestuursorganen opvragen (artikel 8.2.3). Zelfs verklaringen van erfrecht kunnen sanctierechtelijk relevant zijn, zo volgt uit de voorgestelde bepaling. Als iemand ‘onderwerp van registratie’ wordt, worden gegevens over relaties met anderen (bijvoorbeeld rechtspersonen) verstrekt aan allerlei registers (artikel 8.2.4).
Op grond van de voorgestelde regels zullen gegevens van burgers kunnen worden gedeeld met velen, niet alleen Nederlandse bestuursorganen. Dat maakt het belangrijk dat de gegevens juist zijn. In het voorstel zijn daartoe geen mechanismen opgenomen. De rechtsbescherming tegen foute handelingen van ondernemingen of overheidsinstanties is niet geregeld [1], wat voor niet-vermogende benadeelden problematisch is, zoals nu al in de witwasbestrijding.

Relatie
Voor de toepassing van de sanctieregelgeving is essentieel of een persoon of een vermogensbestanddeel een ‘relatie’ heeft met een gesanctioneerde persoon (wat ook rechtspersonen en organisaties omvat). Het begrip wordt niet gedefinieerd en de consultatietoelichting volstaat met een verwijzing naar artikel 2 van Verordening (EU) nr. 269/2014, waarin is bepaald dat er geen tegoeden of economische middelen ter beschikking gesteld mogen worden aan of ten behoeve van de aangewezen personen “of met hen verbonden natuurlijke personen of rechtspersonen, entiteiten of lichamen“.

Nieuwe administratieve verplichtingen voor juristen
Opvallend is dat er op het gebied van de naleving van sanctieregelgeving nog steeds veel wordt verwacht van ‘de juridische beroepsgroepen’. De juridische beroepsgroepen hebben in het algemeen geen bevriezenswaardig vermogen van hun klanten onder zich (anders dan financiële instellingen).
In de consultatietoelichting is geen onderbouwing te vinden van de noodzaak van extra toezicht voor bepaalde juristen en evenmin wordt aangegeven waarom bedrijfsvoeringsregels nodig zouden zijn [2]. Mij is niet bekend dat deze beroepsgroepen op grote schaal de sanctieregels schenden, zodat de vraag of of de extra voorschriften – waarmee hoge kosten zijn gemoeid – wel proportioneel zijn. Maar dat lijkt voor de makers van het voorstel niet relevant te zijn.

In het voorstel is opgenomen dat het huidige bestuursrechtelijke toezicht van de Sw moet worden uitgebreid naar de juridische beroepsgroepen, waartoe ook accountants en administratiekantoren worden gerekend. Het betreft de groep juristen die onder de Wwft vallen (zie het voorstel voor artikel 10 Sw), het gaat dus niet over alle juristen. Net als in de Wwft wordt rechtsbijstand uitgezonderd. Er wordt gemeld dat de nieuwe Europese antiwitwasregels de wijziging van de Sw deels overbodig zullen maken [3]. De huidige antiwitwastoezichthouders zullen het sanctietoezicht op deze juristen gaan houden en krijgen de bevoegdheid om nadere regels te stellen ten aanzien van de bedrijfsvoering ter naleving van sancties.

Tot slot
Het voorstel en de toelichting besteden te weinig aandacht aan de praktische effectiviteit van de voorgestelde regels, die veel geld zullen gaan kosten die uiteindelijk aan de burger worden doorberekend [4].

 

Noten:

[1] In de consultatietoelichting wordt in paragraaf 4.1 gemeld dat het voldoende zou zijn dat beroep mogelijk is bij de nationale rechter en in sommige gevallen bij het EU-Gerecht en eventueel hoger beroep bij het EU-Hof.

[2] Zie pagina 33 consultatietoelichting. Op pagina 34 wordt gemeld dat de Nationaal Coördinator Sanctienaleving en Handhaving heeft aanbevolen om de groepen onder bedrijfsvoeringstoezicht uit te breiden met bepaalde juridische beroepsgroepen waaronder advocaten, notarissen en accountants.

[3] Eveneens pagina 33 consultatietoelichting: “Het AML-pakket bevat, naast regels over de voorkoming van witwassen en terrorismefinanciering, nadere bedrijfsvoeringsregels op het gebied van gerichte financiële sancties voor de partijen die onder de reikwijdte vallen. Deze bedrijfsvoeringsregels, die per verordening zijn geregeld, vervangen grotendeels de nationaal gestelde regels uit de Sanctiewet 1977, zowel wat betreft de reikwijdte aan groepen instellingen die eronder vallen als de regels waaraan zij zich moeten houden. Dit betekent dat Europese AML-pakket het huidige bedrijfsvoeringstoezicht uit de Sanctiewet 1977 (en een eventuele modernisering daarvan) bij vankrachtwording grotendeels buiten werking zal stellen.“. Meer over het AML-pakket in paragraaf 4.2, waar wordt gemeld dat naast Europese bedrijfsvoeringsregels er ook nationale regels kunnen worden gesteld.

[4] Het is humoristisch dat in de consultatietoelichting wordt gezegd dat het voorstel weinig regeldruk zou opleveren, omdat de belangrijkste regeldruk al door de Europese verordeningen wordt veroorzaakt, zie paragraaf 6.2. Men heeft ook van ‘doenvermogen’ gehoord, maar daar wordt niets mee gedaan.

 

 

De artikelen op dit blog over modernisering van de Nederlandse sanctieregelgeving zijn hier te vinden.

Geplaatst in Dienstverlening - juridisch financieel [advocaten, accountants, belastingadviseurs e.d.], Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, Sanctieregels | Tags: , , , , | Plaats een reactie

De hoogwaardige datasets van de Open Data Act, met bedrijfsgegevens

Geplaatst op 13 juni 2024 door Ellen Timmer

In het kader van de Open Data Act is de uitvoeringsverordening inzake hoogwaardige datasets [*] vastgesteld. De bijlage vermeldt de volgende rubrieken:

  1. geospatiale data
  2. aardobservatie en milieu
  3. meteorologische data
  4. statistieken, onder meer over de bevolking, over armoede en ongelijkheid, over toeristenstromen en over werkgelegenheid en werkloosheid
  5. bedrijven en eigendom van bedrijven
  6. mobiliteit

 

De onder 5. genoemde gegevensset omvat:

(klik op het plaatje voor een grotere versie)

 

Op welke manier bedrijven van natuurlijke personen (eenmanszaken en personenvennootschappen) in de datasets worden verwerkt, werd mij uit de tekst nog niet duidelijk. Wel is duidelijk dat individuele ondernemingsgegevens in de dataset zitten. Zo is onder meer sprake van ‘adres van de statutaire zetel’. De vraag is of dat het privé adres van de eenmanszaak is, ook als de ondernemer een ander bezoekadres en een postadres heeft opgegeven? Dat zou de Nederlandse wetgevende plannen rondom het handelsregister (‘Datavisie Handelsregister’) in de wielen kunnen rijden (zie deze artikelen).

 

 

[*] Uitvoeringsverordening (EU) 2023/138 van de Commissie van 21 december 2022 tot vaststelling van een lijst met specifieke hoogwaardige datasets en de regelingen voor publicatie en hergebruik van die gegevens: overzichtspagina, Nederlandstalige versie.

Geplaatst in Europa, Grondrechten, Handelsregister, ICT, privacy, e-commerce, Kamer van Koophandel | Tags: , , | Plaats een reactie

Digitaal Europa en haar data-ruimten

Geplaatst op 12 juni 2024 door Ellen Timmer

Gisteren schreef ik dat in de Nederlandse media weinig is te vinden over de enorme digitale projecten waar de EU mee bezig is, zoals het Digital Decade Policy Programme 2030 en diverse andere initiatieven.
Een recente Europese factsheet, Realising Europe’s Digital Decade, bespreekt de vele digitaliseringsinitiatieven van de EU.

Dataruimten en de Data Governance Act

De medische ‘dataruimte’ waar Privacy First over berichtte wordt mogelijk gemaakt door de Data Governance Act, waar de Raad van State in een advies kritisch over was.

Gegevens delen (of datagraaien?)
Doel van de verordening is om meer gegevens, waaronder persoonsgegevens, beschikbaar te maken voor algemeen gebruik. De EU denkt daarmee de data-economie te ondersteunen. De verordening stelt regels voor het hergebruik en beschikbaar stellen van overheidsgegevens en voor het delen van gegevens door burgers of organisaties via een databemiddelingsdienst. Verder wil men het vrijwillig delen van gegevens te stimuleren met het oog op het algemeen belang (‘data-altruïsme’ of ‘datadeling in het algemeen belang’).

Doel
Algemene informatie van de EU is te vinden op deze pagina (machinevertaling van het Europese origineel) met uitleg over het doel van de verordening. Daaruit blijkt dat zowel overheid als bedrijfsleven graag veel meer (persoons)gegevens willen hebben en dat burgers daarvan zouden profiteren [*]. Persoonsgegevens die geoogst zullen worden betreffen onder meer medische gegevens en mobiliteitsgegevens. Er zijn vragen en antwoorden gepubliceerd.

Dataruimten
In de vragen en antwoorden wordt het nut van de Europese dataruimten als volgt beschreven:

Europese dataruimten moeten het mogelijk maken om gegevens uit de hele EU, zowel van de overheid als van bedrijven, op een betrouwbare en betaalbare manier uit te wisselen, en zo de ontwikkeling van nieuwe datagestuurde producten en diensten stimuleren Dataruimten omvatten zowel de beveiligde technologische infrastructuur als de governancemechanismen.
De Commissie zal de totstandbrenging en ontwikkeling van gemeenschappelijke Europese dataruimten en het datagebruik daarin ondersteunen op negen strategische gebieden, zoals aangegeven in haar datastrategie van februari 2020: gezondheid, milieu, energie, landbouw, mobiliteit, financiën, maakindustrie, openbaar bestuur, en vaardigheden.
Het nodige geld komt uit het programma Digitaal Europa en de Connecting Europe Facility. De Commissie is met name van plan 2 miljard euro te investeren in de nodige infrastructuur, tools, architectuur en mechanismen voor gegevensverwerking en -uitwisseling.

Er wordt geroepen dat voldaan zal worden aan gegevensbeschermingseisen. De vraag is of dat wel mogelijk is nu toezicht en handhaving nu al structureel achterblijven. Ook is opvallend dat de gegevens de EU uit mogen:

We willen dat Europa zijn data-economie uitbouwt en versterkt, maar zonder enige verplichting om data in de EU op te slaan en te verwerken.

dus de Amerikanen kunnen als vanouds een digitaal graantje meepikken.
Lees over de dataruimten deze pagina, waarin is te vinden dat de laatste stand van zaken staat in een bericht van 24 januari jl. over het updatedocument:

Since the publication of the first SWD, there have been some significant milestones – notably the entry into application of the Data Governance Act, adoption of the Data Act and adoption of the implementing act on high-value datasets. Second, it presents the state of play of data-space related EU support actions, including sector- and domain-specific initiatives, the Data Spaces Support Centre (DSSC) and smart open-source middleware (Simpl), as well as relevant European Digital Infrastructure Consortia (EDICs) and ongoing work on standards and interoperability. Finally, for each sector- or domain-specific common European data space, this second SWD presents progress over the past two years as well as the upcoming key milestones

Nalatige lidstaten
Hoewel de verordening al enige tijd in werking is, zijn 18 lidstaten in gebreke met naleving, lees het bericht van de Commissie, Commissie roept 18 lidstaten op de EU-datagovernanceverordening na te leven en schrijft onder meer:

De wet zal ook het hergebruik van bepaalde gegevens die in het bezit zijn van de publieke sector vergemakkelijken en het vrijwillig delen van gegevens stimuleren. Data-altruïsme stelt burgers in staat hun toestemming te geven om gegevens beschikbaar te stellen die zij genereren voor het algemeen belang, bijvoorbeeld voor medische onderzoeksprojecten. Organisaties voor data-altruïsme kunnen besluiten om in een openbaar register te worden opgenomen en het gemeenschappelijke EU-logo te gebruiken. Zij moeten een non-profitkarakter hebben en voldoen aan transparantievereisten en specifieke waarborgen bieden ter bescherming van de rechten en belangen van burgers en bedrijven die besluiten hun gegevens te delen.

Nederland staat niet in het overzicht van de 18, wat me verrast.

Andere Europese initiatieven

Met de Data Governance Act houdt het in de EU niet op.
In 2021 werd het Digital Decade programma aangekondigd, lees de vragen en antwoorden. Onder meer de Europese Digitale Identiteit is onderdeel hiervan.

Veel van de Europese initiatieven leiden tot meer verspreiding van persoonsgegevens. Een voorbeeld daarvan is de hiervoor genoemde Data Governance Act.

Ook de Open data richtlijn leidt tot meer persoonsgegevens, lees Commission shows a lack of understanding of the risks of including personal data in open data en EDPB and EDPS: The EU’s Data Act: data protection must prevail to empower data subjects.

Europa heeft een enorm datacentrum met de naam eu-LISA opgetuigd, die in toenemende mate gegevens van Europese burgers verwerkt, zoals in de CESOP database. eu-LISA was aanleiding voor het artikel Europe as a major databroker | IT systems to fight crime and secure EU borders. Zie ook “How interoperable databases will boost Europe’s security” | Council of the EU.

Waar gaat het heen?

In 2018 schreef ik Wat Europa met de ene hand geeft, neemt het met de andere hand terug. Mijn indruk is dat de EU veel te tech-optimistisch is en onvoldoende aandacht besteedt aan toezicht en cybersecurity. Ik hoop dat ik ongelijk heb.

 

 

[*] Zo wordt hier beschreven:

De EU zal de ontwikkeling van betrouwbare systemen voor gegevensuitwisseling stimuleren door middel van vier brede reeksen maatregelen:

  1. Mechanismen om het hergebruik van bepaalde overheidsgegevens te vergemakkelijken die niet als open gegevens beschikbaar kunnen worden gesteld. Het hergebruik van gezondheidsgegevens zou bijvoorbeeld onderzoek kunnen bevorderen om genezingen voor zeldzame of chronische ziekten te vinden.
  2. Maatregelen om ervoor te zorgen dat gegevensbemiddelaars zullen fungeren als betrouwbare organisatoren van het delen of bundelen van gegevens binnen de gemeenschappelijke Europese gegevensruimten.
  3. Maatregelen om het voor burgers en bedrijven gemakkelijker te maken hun gegevens beschikbaar te stellen ten behoeve van de samenleving.
  4. Maatregelen om het delen van gegevens te vergemakkelijken, met name om het gebruik van gegevens over sectoren en grenzen heen mogelijk te maken, en om het vinden van de juiste gegevens voor het juiste doel mogelijk te maken. 

Lees de Data Governance Act Uitgelicht voor meer informatie over deze maatregelen.

 

Meer informatie:

Relevante rubrieken op dit blog zijn onder meer:

Geplaatst in Europa, ICT, privacy, e-commerce | Tags: , , , , , , , , , , , , | Plaats een reactie

Lelieveldt: privatisering misdaadbestrijding is uiting van een overheid die de grondrechten niet wenst te respecteren | video | Wwft, AML, CFT

Geplaatst op 12 juni 2024 door Ellen Timmer

Degenen die zich interesseren voor de privatisering van de criminaliteitsbestrijding (‘witwasbestrijding’) kunnen de video bekijken waarin Simon Lelieveldt het ontstaan van de witwasbestrijding uitlegt. Hij vertelt dat de overheden ‘marktje’ spelen op het gebied van regelgeving en de grondrechten van burgers volledig uit het oog hebben verloren. Ook meldt hij de lange arm van de Amerikanen met hun extraterritoriaal werkende regelgeving, bijvoorbeeld op het gebied van belastingen en sanctieregelgeving.

Lelieveldt komt met zijn stichting Human Rights in Finance.EU op voor de financiële mensenrechten van Nederlanders. Een overzicht van activiteiten van de stichting is op dit blog hier te vinden; bekijk de berichten waarin ik de stichting noem.

 

De video:

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , , , | Plaats een reactie

Privacy First over medische privacy en de Europese ‘dataruimten’

Geplaatst op 11 juni 2024 door Ellen Timmer

In de Nederlandse media lees je weinig over de enorme digitale projecten waar de EU mee bezig is.
Wie zich daar voor interesseert, kan terecht bij Privacy First die er over schreef in het kader van medische privacy.

Gezondheidsgegevens van Europese burgers worden verplicht gedeeld (EHDS)
In het artikel Welkom in het data-communisme wordt besproken dat Europa in het kader van de regelgeving over de European Health Data Space (EHDS) verplicht wil stellen dat alle gezondheidsgegevens van Europese burgers worden doorgestuurd naar overheden en bedrijven om daar ‘goede dingen’ mee te doen:

Onlangs bereikte het Europees Parlement een voorlopig politiek akkoord over de European Health Data Space (EHDS), waarin een volledig nieuw paradigma werd geïntroduceerd. Onze medische en sociale gegevens komen terecht in een Europees netwerk van datacentrales, waar niet wij, maar de overheid bepaalt wie er toegang krijgt en onder welke voorwaarden.

Data-communisme
Vertrouwelijkheid wordt vervangen door ‘data-solidariteit’. Het is onze morele plicht als burger om al onze gegevens te delen voor grotere gemeenschappelijke doelen, zoals medisch-wetenschappelijk onderzoek en innovatie. Het woord ‘gemeenschappelijk’ komt 64 keer voor in de tekst. Nou is solidariteit een prachtig principe; het zijn onze gedeelde waarden en ideeën waarvoor we bereid zijn ons eigen belang opzij te zetten. Het is de emotionele lijm die ons verbindt als maatschappij. Maar solidariteit impliceert wel een eigen vrije keuze en met de EHDS wordt dit van bovenaf opgelegd. Dat is geen ‘data-solidariteit’, maar ‘data-communisme’.

Dit is exemplarisch voor hoe ‘Brussel’ macht naar zich toetrekt. Burgers wordt ‘meer controle over hun medische gegevens’ beloofd, maar feitelijk gebeurt er het tegenovergestelde. Burgers leveren hun zeggenschap in en deze beschikkingsmacht wordt verdeeld tussen de Europese Commissie, de lidstaten en een brede schare aan stakeholders, met elk een eigen deelbelang. Zorginstellingen worden verplicht de data over te dragen. Een lidstaat kan hooguit zelf een recht op bezwaar (opt-out) invoeren, maar zelfs dat is niet waterdicht. In het geval van een crisis kan dat opzij worden geschoven en krijgen Europese instanties alsnog toegang tot onze gegevens voor beleidsdoeleinden.

Meer informatie in het complete artikel, waarin wordt aangegeven dat de ‘dataruimten’ van Europa op vele andere soorten persoonsgegevens betrekking kunnen hebben, zoals rijgedrag, energieverbruik en financiën.

Privacy First maakt zich grote zorgen over ondergraving van de grondrechten van burgers.

Europese privacytoezichthouder waarschuwt voor de dataruimten
In het artikel van 27 mei – CPDP – AI & 14 dataspaces – maakt Privacy First melding van de waarschuwingen van de Europese privacytoezichthouder EDPS:

In de afsluitende speech op de CPDP conferentie wees de European Data Protection Supervisor, Wojciech Wiewiórowski, op de risico’s van de “versnippering van wetgeving” die dit tot gevolg kan hebben. Op dit moment wordt een groot deel van ons recht op privacy nog verankerd in de Algemene Verordening Gegevensbescherming, de AVG.

Opnieuw is Privacy First kritisch over EHDS:

Met de eerste Europese dataruimte, de European Health DataSpace (EHDS), zien we hoe dat kan gaan veranderen. Daarin wordt ons recht op het geven van toestemming afgeschaft voor medische gegevens, met het ‘publiek belang’ als argument. Maar wat is ‘publiek belang’?

De organisatie denkt dat het veel te vroeg is voor de diepgaande inbreuken op de privésfeer via de Europese dataruimten en schrijft naar aanleiding van een congres:

“To govern, or to be governed. That’s the question” was terecht de centrale vraag op het CPDP congres dit jaar. Grote instituties zorgen voor een centralisatie van macht, ten koste van individuele autonomie. Al die data zijn een goudmijn, voor wetenschap én voor het trainen van BigAI. Kunnen we daar (letterlijk) straks nog de stekker uit trekken, als het toch niet zo uitpakt als we verwachten?

Lees voor meer informatie het complete artikel.

Op dit blog nog enkele andere berichten over medische privacy, zoals: Een oceaan van medische persoonsgegevens waar iedereen in kan vissen: ‘datalek by design’ in de zorg.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , | Plaats een reactie

Chatcontrol/CSAM: een wereldwijde coalitie waarschuwt voor ondergraving van beveiligde communicatie zoals messaging

Geplaatst op 11 juni 2024 door Ellen Timmer

Een groot aantal burgerrechtenorganisaties en particulieren heeft eind mei jl. een verklaring getekend waarin kritiek wordt uitgeoefend op het laatste voorstel inzake het door digitale dienstverleners analyseren van beveiligde communicatie:

gezamenlijke verklaring over de gevaren van het compromisvoorstel van mei 2024 van de Europese Raad inzake EU CSAM [*]

In de verklaring wordt opgeroepen om alle scanvoorstellen te verwerpen die end-to-end encryptie niet respecteren en om te waarborgen dat de digitale rechten van Europese burgers worden beschermd.
De verklaring is onder meer door de Nederlandse burgerrechtenorganisaties Bits of Freedom en Privacy First getekend.

Campagne tegen encryptie
Intussen voeren overheidsinstanties campagne tegen encryptie. Zo heeft Europol weer een document gepubliceerd waarin wordt geklaagd over encryptie, versleuteld dns-verkeer en 5G-roaming, zie dit security.nl bericht.
Praktisch betekent het standpunt van Europol dat burgers niet in staat worden gesteld zich te beschermen tegen advertentiebedrijven, criminelen en vijandelijke statelijke actoren.

Lees over recente ontwikkelingen rondom encryptie de berichten op security.nl.

Wanneer valt het kwartje bij de beleidsmakers dat ook burgers zich moeten kunnen beschermen tegen illegale toegang en dat overheidstoegang betekent dat ook anderen toegang kunnen krijgen?

 

 

[*] Joint Statement on the dangers of the May 2024 Council of the EU compromise proposal on EU CSAM, opgesteld door de Global Encryption Coalition Steering Committee.

 

Aanvulling 20 juni 2024
Netzpolitik schrijft over de Europol campagne: Crypto Wars: Europol-Attacke gegen Verschlüsselung.

Geplaatst in Europa, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , , | Plaats een reactie

1 juli a.s. debatavond Privacy First over privacy in het coalitieakkoord

Geplaatst op 10 juni 2024 door Ellen Timmer

Privacy First organiseert op 1 juli 2024 ‘s-avonds in Amsterdam een debatavond over privacy in het coalitieakkoord met interessante sprekers, waaronder een vertegenwoordiger van een partij die deelneemt aan de coalitieonderhandelingen:

Meer informatie in de aankondiging.

 

En steun Privacy First:
site van Privacy First, donatiepagina

 

Aanvulling 10 juli 2024
Degenen die de avond hebben gemist kunnen de video terugkijken op de pagina met de aankondiging of op youtube.

Geplaatst in ICT, privacy, e-commerce | Tags: , , , | 1 reactie