New ECJ judgment on the confidentiality of electronic communications | Hadopi case

On 30 April, the CJEU issued an important judgment in a case on the confidentiality of electronic communications, the Hadopi case C‑470/21.
Before that Advocate General Szpunar on 28 September 2023 issued an opinion.

The court ruled:

Article 15(1) of Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications), as amended by Directive 2009/136/EC of the European Parliament and of the Council of 25 November 2009, read in the light of Articles 7, 8 and 11 and Article 52(1) of the Charter of Fundamental Rights of the European Union,

must be interpreted as not precluding national legislation which authorises the public authority responsible for the protection of copyright and related rights against infringements of those rights committed on the internet to access data, retained by providers of publicly available electronic communications services, relating to the civil identity associated with IP addresses previously collected by rightholder organisations, so that that authority can identify the holders of those addresses – which have been used for activities liable to constitute such infringements – and may, where appropriate, take measures against them, provided that, under that legislation:

– those data are retained in conditions and in accordance with technical arrangements which ensure that the possibility that that retention might allow precise conclusions to be drawn about the private life of those IP address holders, for example by establishing a detailed profile of those persons, is ruled out – which may be accomplished, in particular, by imposing on providers of electronic communications services an obligation to retain the various categories of personal data, such as data relating to civil identity, IP addresses and traffic and location data, in such a way as to ensure a genuinely watertight separation of those different categories of data, thereby preventing, at the retention stage, any combined use of those different categories of data – and for a period not exceeding what is strictly necessary;

– that public authority’s access to such data retained separately and in a genuinely watertight manner serves exclusively to identify the person suspected of having committed a criminal offence and is subject to the necessary safeguards to ensure that that access cannot, except in atypical situations, allow precise conclusions to be drawn about the private life of the IP address holders, for example by establishing a detailed profile of those persons, which entails, in particular, that the officials of that authority authorised to have such access are prohibited from disclosing, in any form whatsoever, information on the content of the files consulted by those holders, except for the sole purpose of referring the matter to the public prosecution service, from tracking the clickstream of those IP address holders and, more generally, from using those IP addresses for any purpose other than that of identifying their holders with a view to the potential adoption of measures against them;

– the possibility, for the persons responsible for examining the facts within that public authority, of linking such data with files containing information that reveals the title of protected works the making available of which on the internet justified the collection of IP addresses by rightholder organisations is subject, in cases where the same person again repeats an activity infringing copyright or related rights, to review by a court or an independent administrative body, which cannot be entirely automated and must take place before any such linking, as such linking is capable, in such circumstances, of enabling precise conclusions to be drawn about the private life of the person whose IP address has been used for activities that may infringe copyright or related rights;

– the data processing system used by the public authority is subject at regular intervals to a review, by an independent body acting as a third party in relation to that public authority, intended to verify the integrity of the system, including the effective safeguards against the risks of abusive or unlawful access to or use of those data, and its effectiveness and reliability in detecting potential offending conduct.

Privacy advocates are disappointed.

It is interesting to see that the protection of works covered by copyright or related rights against offences committed on the internet is important enough for this type of access to electronic communications. Wouldn’t it be more important to put all energy into tracking down data protection violators, who harvest personal data and sell it to the highest bidder? Is copyright more important than data protection?

 

More information:

Judgment of 30 April 2024
ECLI:EU:C:2024:370, Case C‑470/21, La Quadrature du Net and others / French government:

• press release English, Dutch;
• judgment of 30 April 2024: page;
• judgment of 30 April 2024 in English: html;

Opinion of 28 September 2023
Advocate General Szpunar, ECLI:EU:C:2023:711:

• EUR-Lex page,
• html: English, Dutch.

Privacy advocates

• La Quadrature du Net: Surveillance et Hadopi : la justice européenne enterre un peu plus l’anonymat en ligne (translation: Surveillance and Hadopi: European court buries online anonymity a little further), 30 April 2024.
• EDRi in February was disappointed with the opinion of the Advocate General Szpunar: A complete U-turn in jurisprudence: HADOPI and the future of the Court of Justice of the European Union’s authority, 7 Februar7 2024. Also published on European Law Blog.

Other articles

• GDPR Hub, page on the judgment.
• Golem, Wie die Provider künftig Vorratsdaten speichern dürfen, 8 May 2024: “Nach Ansicht des Branchenverbands Eco dürfen die Provider jetzt eher weniger Daten speichern“.
• Heise: Urheberrechtsverstöße: EuGH gestattet Vorratsdatenspeicherung grundsätzlich, 30 April 2024; Vorratsdatenspeicherung: Forscher erkennen “kopernikanische Wende” beim EuGH, 5 May 2024.

Risicoprofilering in de Tweede Kamer | Rondetafelgesprek 23 mei over risicoprofilering in het handhavingsbeleid

Risicoprofilering is de kern van de geprivatisereerde criminaliteitsbestrijding (‘witwasbestrijding’), maar als de Tweede Kamer met dat onderwerp bezig is, gaat het alleen over de echte overheid [1].

Zo ook volgende week als in de commissie Binnenlandse zaken het ‘Rondetafelgesprek over risicoprofilering in het handhavingsbeleid‘ plaats vindt [2]. De sessie is op donderdag 23 mei van 14 tot 17 uur. Zo te zien gaat de sessie vooral over etnisch profileren, dat is jammer want de problematiek is breder.

Met name de position papers van het College voor de Rechten van de Mens en de Nationale ombudsman zijn interessant.

Het College voor de Rechten van de Mens meldt dat er een nieuwe versie van het toetsingskader risicoprofilering in voorbereiding en is geeft een uiteenzetting van het fenomeen risicoprofilering:

(2) Risicoprofilering
Onder risicoprofilering verstaat het College het toepassen van één of meer criteria op basis waarvan een handhavende instantie een bepaald risico op normovertreding inschat. Deze risico-inschatting wordt vervolgens gebruikt om personen te selecteren op wie (nadere) controle wordt toegepast. Risicocriteria kunnen kenmerken zijn van een persoon zelf, van het gedrag van een persoon of van omstandigheden waarin iemand zich bevindt. Beoogd doel van de inzet van risicoprofilering is doorgaans een effectieve(re) normhandhaving. De veronderstelling van de instantie die profileert is dat de gekozen criteria samenhangen met een hogere kans op detectie van normovertreding dan bij controle volgens een willekeurige steekproef. Risicoprofilering kan in veel hoedanigheden voorkomen. Bij profilering ‘in levende lijve’ richt (bijvoorbeeld) een agent zich op bepaalde kernmerken van personen en/of gedrag, observeert deze en selecteert hierop de persoon voor controle. Risicoprofilering kan ook op dossierniveau plaatsvinden. Hierbij kan gedacht worden aan opsporing van sociale zekerheidsfraude, waarbij aan de hand van risicocriteria een voorselectie van dossiers van aanvragers wordt gemaakt. Dossierselectie kan handmatig of algoritmisch plaatsvinden.

(3) Risicoprofilering en het juridische discriminatieverbod
Risicoprofilering brengt risico’s op discriminatie mee. Discriminatie is onderscheid op grond van bepaalde persoonskenmerken waarvoor geen objectieve rechtvaardiging is. Criteria die worden gebruikt in een risicoprofiel maken per definitie onderscheid tussen personen: daar zijn ze voor ontworpen. Onderscheid is niet altijd verboden. Bij het discriminatieverbod is de hamvraag steeds of er een objectieve rechtvaardiging is voor een selectiecriterium of risicofactor. De juridische objectieve rechtvaardigingstoets kent drie hoofdelementen:

i) wordt een legitiem doel nagestreefd? (is het doel op zichzelf toelaatbaar en heeft de gebruiker een daadwerkelijk belang);
ii) is het risicocriterium geschikt om het doel te bereiken? (is het criterium effectief, draagt het bij aan het behalen van het nagestreefde, legitieme doel), en
iii) is het risicocriterium noodzakelijk om het gestelde doel te bereiken? Het noodzakelijkheidscriterium valt uiteen in twee toetsen: is er een andere, minder inbreuk-makende manier om het doel te bereiken (subsidiariteit) en staan de nadelen van het gebruik van de risicofactor in redelijke verhouding tot het belang van het beoogde doel (proportionaliteit)?

Indicatoren in risicoprofielen kunnen direct of indirect onderscheid maken. Als iemands huidskleur of etnische afkomst een deel van het risicoprofiel is, dan wordt er direct onderscheid op grond van ‘ras’ of etniciteit gemaakt. Wanneer een risicofactor ‘hoogte inkomen’ leidt tot strengere of frequentere controles dan kan dat indirect onderscheid op grond van ‘ras’ opleveren – als statistisch duidelijk is dat personen met migratieachtergrond momenteel een lager dan gemiddeld inkomen genieten. Sterk vereenvoudigd gezegd bestaat voor direct onderscheid juridisch gezien het minste ruimte en is de toets het strengst. 3 De risico’s van indirecte discriminatie door risicoprofilering moeten zeer serieus worden genomen; ze zijn dikwijls ingewikkelder om te herkennen. Deze krijgen dan ook een uitgebreide bespreking in het nieuwe toetsingskader van het College. Het navolgende van deze notitie concentreert zich op direct onderscheid bij risicoprofilering.

3 Het maakt voor de wijze van toetsing verschil of een criterium onder EU-richtlijnen valt of onder het EVRM. Op dit verschil wordt nader ingegaan in het (oude en komende) Toetsingskader van het College. Grofweg kan gezegd worden dat discriminatie wegens ras bij sociale zekerheidskwesties onder EU-recht valt, terwijl overige handhaving, waaronder politieoptreden, aan de hand van EHRM-jurisprudentie moet worden beoordeeld.

(Lees ook de rest van de paper.)

De Nationale ombudsman legt uit dat onjuiste risicoprofilering het vertrouwen in de overheid ondermijnt:

Een behoorlijke overheid respecteert fundamentele rechten, handelt zorgvuldig en kan haar handelen uitleggen. Deze eisen gelden ook als overheid risicogericht controleert. De overheid mag niet discrimineren en moet uit kunnen leggen hoe een selectie tot stand is gekomen. Als de overheid mensen op basis van onrechtmatige of onzorgvuldige profilering ziet als overtreder of fraudeur heeft dat blijvende effecten op hoe de burger de overheid ziet. Deze burgers ervaren dat de overheid er niet of minder voor hen is, op basis van wie zij zijn. Helaas laten recente voorbeelden zien dat onzorgvuldige risicoprofilering grote gevolgen kan hebben. Deze voorbeelden leiden in het individuele geval tot een vertrouwensbreuk tussen betrokkene en de overheid. Maar kunnen ook leiden tot een algeheel afnemen van vertrouwen in de overheid.

Nationale ombudsman is er voor mensen die een klacht hebben over profilering en legt overheidshandelen langs de meetlat van de behoorlijkheidswijzer. Een individuele klacht kan ook een instrument zijn voor structurele gedragsverandering, dat vraagt wel dat er geleerd wordt van klachten.

(Lees ook de rest van de paper.)

Aan bespreking van de andere papers kom ik niet toe.

Wel signaleer ik dat er bij de gemeenten (VNG) een heilig geloof is in ‘nieuwe technologieën’, terwijl de ervaring leert dat die tech tamelijk tot zeer dom is, zeker in handen van mensen die er niet mee om kunnen gaan. Lees het ongegronde optimisme van VNG in deze tekst [3]:

Het hoogste doel van de overheid is een vreedzame samenleving. Om dit doel te bewerkstelligen zal de overheid gebruik moeten maken van risicoprofilering en nieuwe technologieën die ingezet kunnen worden.

Ik hoop dat de gemeentemensen snel wijzer worden.

Het zou goed zijn als de behoorlijkheidswijzer van de Nationale ombudsman ook richtsnoer voor witwasbestrijdingsplichtigen zou worden.

 

Noten

[1] Daarover schreef ik eerder:
* Bancair sleepnet komt niet voor in de digitale ambities van het kabinet | regie op digitalisering criminaliteitsbestrijding ontbreekt | bancair sleepnet, Wwft, Wgs, 7 november 2022.
*Komt er iets terecht van ‘waardengedreven digitalisering’ door de Nederlandse overheid als private bedrijven met overheidstaken buiten beeld blijven?, 20 september 2023.
In mijn ogen zijn witwasbestrijdingsplichtigen, zeker de grote (zoals banken) een pseudo-overheid, waarvoor dezelfde regels zouden moeten gelden als voor de echte overheid.

[2] Aankondiging, met het programma en een groot aantal position papers, onder meer van Amnesty International, het College voor de Rechten van de Mens en de Nationale ombudsman.

[3] Pagina 2 tweede kolom.

Zweedse organisatie van banken waarschuwt voor de gevaren van online zoekdiensten van de advertentiebedrijven | “Stop het misbruik van persoonsgegevens”

De Zweedse organisatie van banken (Svenska Bankföreningen) waarschuwt in het bericht ”Stoppa utnyttjandet av person­uppgifter” (“Stop het misbruik van persoonsgegevens”) voor de risico’s van de online zoekdiensten van advertentiebedrijven en datahandelaren.

In het artikel wordt de voorzitter van de organisatie geciteerd, die zegt dat online zoekdiensten belangrijke instrumenten zijn geworden voor criminelen om potentiële slachtoffers te vinden. In Zweden neemt het aantal oplichtingspraktijken snel toe, vooral die waarbij sprake is van zogenaamde social engineering, waarbij de oplichter het slachtoffer ervan overtuigt om zelf geld over te maken. Volgens de Zweedse politie maken criminelen op grote schaal gebruik van persoonsgegevens die door zoekdiensten en datahandelaren op hun websites beschikbaar worden gesteld, waarbij ze misbruik maken van een Zweedse regeling dat journalisten zich niet aan de AVG hoeven te houden (een publicatievergunning). Dat betekent volgens het artikel dat deze zogenaamde journalisten persoonsgegevens kunnen publiceren zonder toestemming van betrokkenen en er geld voor kunnen vragen. Er wordt gewaarschuwd dat het iedereen in Zweden, inclusief criminelen, vrij staat om een publicatievergunning aan te vragen en een zoekdienst op te zetten.

Hoewel in Zweden het juridisch misschien iets anders in elkaar zit (er zijn daar datahandelaren die misbruik maken van de journalistieke uitzondering van de AVG), zijn de risico’s in Nederland hetzelfde.
Zijn er in Nederland rampen nodig om dit duidelijk te maken? Of gaan de overheid en grote bedrijfsleven nu eindelijk maatregelen nemen?

We gaan het zien.

Zijn de persoonsgegevens van donateurs veilig bij goede doelen? | Donateursbelangen

Goede doelen zijn voor hun bestaan afhankelijk van donateurs, die van die goede doelen verwachten dat er zorgvuldig met hun gegevens wordt omgegaan.
Dat is niet altijd zo, constateert Donateursbelangen, een stichting die voor de belangen van donateurs opkomt.

Donateursbelangen heeft een ‘Donateursbelofte‘ geformuleerd met de volgende normen:

01. Een open, eerlijke en transparante non-profit sector na te streven
02. Donaties te gebruiken voor de doeleinden waarvoor ze zijn gegeven
03. Donateurgericht te werken op basis van wensen & voorkeuren donateurs
04. Donateurs met respect te behandelen in onze communicatie en tijdens het geld inzamelen
05. Donateurs te informeren wie de geefvraag stelt
06. Dat directe kosten verbonden aan het werven van één donateur nooit hoger zijn dan de totale donatie(s) van deze donateur
07. Gevers op de juiste manier aan te spreken en te informeren wie ze aanspreekt
08. Donateurs de mogelijkheid bieden binnen 3 kliks een vast donateurschap op te zeggen
09. De privacy van donateurs te waarborgen & persoonsgegevens beveiligd op te slaan
10. Doneren toegankelijk te houden door middel van keuzevrijheid betaalmethode

Deze normen geven aan dat regelmatig het tegenovergestelde gebeurt.

Onfatsoenlijke marketingpraktijken en privacyschendingen
Uit de site van Donateursbelangen wordt duidelijk dat soms sprake is van onfatsoenlijke marketing praktijken (inclusief privacyschendingen), die je van goede doelen niet zou verwachten:

• Podcast: Waarom goede doelen soms onethisch handelen, 11 maart 2024
• Podcast: online datagedreven marketing en online tracking, 19 februari 2024
• Artikel over het verdienmodel van de marketingbedrijven die voor goede doelen werken (‘wervingsbureaus’): Nederlanders zijn vaak niet op de hoogte dat wervingsbureaus een vergoeding ontvangen, 17 januari 2024
• Artikel: Goede doelen schenden stelselmatig privacy donateurs, 20 december 2023
• Artikel: 52 van de onderzochte 62 CBF-Erkende goede doelen zetten tracking cookies voordat toestemming is verleend, 19 december 2023

Opvallend is dat goede doelen net als bedrijven op jacht gaan naar zoveel mogelijk persoonsgegevens van hun donateurs. Lees de pagina van Donateursbelangen over dataverzameling door goede doelen. Daar schrijven ze:

In de praktijk blijkt dat er nogal wat goede doelen zijn die persoonsgegevens verplicht vragen zoals adres, telefoonnummer, geboortedatum, geslacht, etc. alvorens je überhaupt mag doneren.

Het is begrijpelijk dat goede doelen geïnteresseerd zijn in de demografische gegevens van hun donateurs, omdat dit kan helpen bij het begrijpen van hun doelgroep en het gerichter maken van toekomstige campagnes. Echter, het verplicht stellen van persoonsgegevens zoals postcode, huisnummer, geslacht en geboortedatum tijdens het doneren kan soms onethisch en zelfs onwettig zijn.

Het grootschalig verzamelen van persoonsgegevens, die soms door de goede doelen of hun marketingbureaus worden ‘verrijkt’ met van derden gekochte informatie [1], is riskant voor de betrokken donateurs. De gegevens kunnen in verkeerde handen terecht komen en worden misbruikt.

De grootste ergernissen zijn volgens Donateursbelangen:

• Zetten van tracking cookies voordat  toestemming is verleend.
• Verplicht postcode en huisnummer bij eenmalig doneren op de website achterlaten met daarachter profilering via externe dataleveranciers (voorbeeld daarvan is het Rode Kruis).
• Privacyverklaringen die niet aangeven welke informatie allemaal opgeslagen wordt over de donateur en recht op inzage moeilijk vindbaar op de website.
• Verplicht bellen met het goede doel om zaken te regelen waarbij er online NIETS kan (geen ‘mijn donateuromgeving’) en waarbij telefonisch veel te veel persoonsgegevens worden gevraagd en er aan de telefoon geen dataminimalisatie toegepast wordt.
• Het ontbreken op de sites van grotere goede doelen van een ‘mijn donateur’ omgeving.

Donateursbelangen publiceert op dezelfde pagina een lijst van goede doelen die netjes omgaan met persoonsgegevens.

Goede doelen colportage
In de kennisbank worden diverse interessante thema’s behandeld, zoals de goede doelen colportage in Wie komen er allemaal aan de deur?, soms zijn dat vrijwilligers en soms zijn dat marketingbedrijven (commerciële wervingsbureaus) die goed verdienen aan het werven van donateurs. Op de pagina staat informatie over de regels die voor colportage gelden. Donateursbelangen heeft vijf verbeterpunten opgesteld met betrekking tot het deur-aan-deur collecteren in Nederland met betrekking tot eenmalig doneren.

Misleiding bij incassomachtigingen
Vroeger werd bij goede doelen colportage altijd contant geld ingezameld. Tegenwoordig komen de colporteurs langs met een computer, tablet of smartphone en vragen om een incassomachtiging. Daar kan het nodige mee mis gaan, zo valt uit de pagina over incassomachtigingen af te leiden. Zo komt met regelmaat voor dat iemand die een eenmalige donatie wil doen, geconfronteerd wordt met opvolgende incasso’s.

Mij lijkt dat het hoog tijd is dat betaalinstellingen en banken een product ontwikkelen om dit soort misbruik, dat niet alleen bij goede doelen zal voorkomen, te voorkomen.

Andere klachten
Andere klachten van Donateursbelangen zijn:
# Er kan niet meer contant betaald worden bij collecte aan de deur.
# Opzeggen donateurschap wordt niet gerespecteerd. Het goede doel blijft de voormalige donateur nog drie jaar lang lastig vallen met telefoon en e-mail en biedt geen mogelijkheid om de marketingactiviteiten stop te zetten (bijvoorbeeld met een opzegformulier).
# Communicatie e-mail is niet mogelijk, alles moet telefonisch (dus ook geen vastlegging van mededelingen).

 

Tips

Geef je aan een goed doel, onderzoek dan eerst hoe het goede doel met persoonsgegevens omgaat, bijvoorbeeld door te kijken wat op de site van Donateursbelangen is te vinden.

Gaat er iets mis, meldt dat dan bij Donateursbelangen zodat ze actie kunnen ondernemen. Op hun site geven ze ook tips, bijvoorbeeld hoe je een klacht bij de Autoriteit Persoonsgegevens indient [2]

 

Noten

[1] Lees bij Donateursbelangen: “Donateurs lopen daarnaast het risico dat hun verplicht gedeelde persoonsgegevens uitgebreid worden door middel van dataverrijking met tal van kenmerken waarbij er een profiel opgebouwd wordt van de donateur. Deze profielgegevens met uitgebreide kenmerken per donateur kunnen gelekt worden bij een datalek. Het is niet noodzakelijk persoonsgegevens op te slaan van donateurs die eenmalig doneren op basis van alle mogelijke risico’s die hier aan vast zitten. Donateurs zijn vaak ook niet op de hoogte dat er dataverrijking plaatsvindt op hun persoonsgegevens en wat er met de data allemaal gedaan wordt. Het is belangrijk om ervoor te zorgen dat dataverrijking op een ethische manier wordt uitgevoerd en dat de privacy van mensen wordt gerespecteerd. Dit betekent dat de data die wordt verzameld en gebruikt, moet worden verkregen met toestemming van de donateur en dat de donateur duidelijk moet worden geïnformeerd over hoe hun persoonlijke informatie wordt gebruikt inclusief inzage over datgene wat er is vastgelegd. Het is ook belangrijk om ervoor te zorgen dat de verrijkte dataset nauwkeurig en betrouwbaar is, zodat de conclusies die eruit worden getrokken, ook betrouwbaar zijn.“.
Zie ook de pagina over profilering en de pagina over privacyschending.

[2] Zie deze pagina onder het kopje ‘Ik denk dat ik getroffen ben, wat kan ik doen?’

De dreiging van de Wtmo hangt nog steeds in de lucht | Wet transparantie maatschappelijke organisaties

Het wetsvoorstel voor de ‘Wet transparantie maatschappelijke organisaties‘ (Wtmo) is nog steeds bij het parlement in behandeling. In het grondrechtenrapport over Nederland van NJCM c.s. worden er zorgen over geuit [1]. Het voorstel heeft niet alleen gevolgen voor not-for-profit organisaties die niet zuiver op de graat zijn, het kan ook nette clubs raken.

Plenair debat over Wtmo in week 22
Het wetsvoorstel is in 2020 ingediend [2]. In mei 2023 zijn ingrijpende wijzigingen voorgesteld waarover de Raad van State heeft geadviseerd. Binnenkort, in de week van 27 mei a.s. vindt een plenair debat [3] plaats:

Belangrijke documenten
De laatste ontwikkelingen zijn in deze documenten te vinden:

• Nota (6) met beslisnota
• Nota van wijziging (7) met beslisnota
• Advies Raad van State (8); advies Raad van State en Nader rapport

Verder zijn er een hele serie adviezen van officiële organisaties zoals het College van procureurs generaal en verder van not-for-profit organisaties die geraakt zullen worden door de nieuwe regels.

Wat vindt de not-for-profit?
Ik heb nog geen gelegenheid gehad te kijken hoe not-for-profit organisaties tegen het gewijzigde voorstel aankijken. Wel werd ik geattendeerd op het bericht van Goede Doelen Nederland van vandaag over het Hoofdlijnenakkoord [4]:

Wet Transparantie Maatschappelijke Organisaties (WTMO)
De behandeling van de WTMO wordt voortgezet. Er wordt gewerkt aan een zogenoemd ‘slim verbod’ op ongewenste buitenlandse financiering van Nederlandse verenigingen, kerkgenootschappen of informele organisaties.

Wij vinden het van belang dat er sprake is van een juiste balans tussen enerzijds de bescherming van de democratische rechtsstaat of het openbaar gezag tegen dreigende ondermijning en anderzijds de bescherming van de grondrechten en vrijheden van maatschappelijke organisaties. Immers een pluriform en kritisch maatschappelijk middenveld is een van de fundamenten van een democratische samenleving.

Not-for-profit organisaties doen er goed aan zeer alert te zijn.

 

Noten

[1] Zie pagina 30 van het grondrechtenrapport over Nederland (pdf): “Several bills remained a source of concern for civil society, as these bills put pressure on the independent role such organisations play within a democratic society. Examples are the bill on the Transparency of Civil Society Organisations (wetsvoorstel Transparantie Maatschappelijke Organisaties)“.
[2] Pagina Tweede Kamer en pagina Eerste Kamer over het voorstel. Dossier overheid.nl.
[3] Aankondiging plenair debat.
[4] Hoofdlijnenakkoord raakt goede doelen, 16 mei 2024.

Boze accountant: “De accountants-etende haaien roken bloed”

Eerder zag ik dat accountancy deskundige P.M. van der Zanden de vloer aanveegde met de AFM (blog).

Er is meer ergernis in accountantsland, want op accountant.nl publiceerde Peter Schimmel, forensisch accountant, een opinie naar aanleiding van een recent rapport van de Association of Certified Fraud Examiners (ACFE), waarin controlerende accountants worden beschuldigd kampioen niet-ontdekken van fraude te zijn. Schimmel naar aanleiding van een publicatie op accountant.nl:

De accountants-etende haaien roken bloed en luidden de noodklok

Vervolgens legt hij uit dat een accountant bij de controle beperkt zicht op fraude heeft.

Jammer dat het nodig is dat Schimmel dit soort uitleg moet geven. Maar het past in een trend dat het luie denken  de boventoon voert in de integriteitsindustrie en dat deskundige en nette burgers alles moeten uitleggen (en dan nog steeds niet worden geloofd).

Het wordt tijd dat kritisch naar ‘witwasindicatoren’ en ‘witwastypologieën’ wordt gekeken | Wwft

Al eerder heb ik op dit blog geschreven over de merkwaardige teksten die mensen van de opsporing produceren [*], teksten die behulpzaam zouden moeten zijn voor zowel de opsporing als voor witwasbestrijdingsplichtigen. FIU Nederland schreef onlangs over hun indicatoren- en typologieënactiviteiten: Typologieën formuleren is echt een breinkraker.

Door het gebruik van de begrippen ‘indicatoren’ en ‘typologieën’ wordt een indruk van wetenschappelijkheid en zekerheid gewekt, terwijl daarvan in werkelijkheid geen sprake is [**]. Ook de Vaklunch auteurs (het is niet zichtbaar wie het artikel geschreven is) signaleren de onvolkomenheden van het indicatoren- en typologieëndenken van de opsporing:

Deze nieuwe lijst roept de nodige vragen op. Zo betreft de tweede categorie in het overzicht de feiten van algemene bekendheid. Deze worden door het AMLC omschreven als “feiten die iedereen geacht wordt te kennen”. Het AMLC neemt feiten van algemene bekendheid op in zijn lijst als die als zodanig zijn gekwalificeerd door een rechter. Dit vraagt wat ons betreft om nuancering. (…)
Kan op basis van deze jurisprudentie steeds gesteld worden dat het gaat om feiten waarvan het zonneklaar is dat die van algemene bekendheid zijn? Onzes inziens niet.

Dit is een artikel van strafrecht mensen, maar voor iedereen die met de private misdaadbestrijding (Wwft) te maken heeft, is het ook relevant.
De indicatoren en typologieën zijn ongetwijfeld goed bedoeld, maar of de praktijk er iets aan heeft is de vraag.

Ik adviseer de beleidsmakers in Den Haag om met de witwasindicatoren en -typologieën op te houden en het slimmer aan te gaan pakken, zo lang het nog kan (want binnenkort gaat de Europese antiwitwasautoriteit AMLA de witwasindicatoren en -typologieën vaststellen).

 

 

[*] Lees onder meer: AMLC maakt nieuw document met ‘witwasindicatoren’ bekend, 20 maart 2024; De ‘rode vlaggen’ van het ‪AMLC die geen vlaggen zijn en ook niet rood | ‘Misbruik van rechtsvormen’, 13 oktober 2022; Weer een lijstje van witwaskenmerken, 16 april 2020 en in 2018 Ondermaatse Egmont Groep publicatie de wereld in geslingerd.
[**] In 2020 schreef ik over het door Mara Wesseling en Marieke de Goede geschreven rapport onder de titel “Beleid Bestrijding Terrorismefinanciering – Effectiviteit en Effecten (2013-2016)“, waarin zij signaleren dat ondanks de wetenschappelijke kritiek op de gedachte dat terrorismefinanciering te herkennen zou zijn aan kenmerken en typologieën, de betrokken overheidsinstanties doorgaan op het spoor van analyse van transacties in de veronderstelling dat terrorismefinanciering herkenbaar zou zijn.

Kabinet maakt bekend dat de Kamer van Koophandel moet stoppen met levering persoonsgegevens aan marketingbedrijven | Datavisie

Het kabinet maakte bekend dat het handelsregister wordt vernieuwd en dat naar privacy en veiligheid voor ondernemers wordt gestreefd. Aanleiding, aldus het bericht:

De afgelopen jaren kregen ingeschreven ondernemers echter steeds meer last van ongewenst gebruik van hun zakelijke gegevens. Gegevens die bij wet verplicht openbaar zijn worden bijvoorbeeld gebruikt voor marketingdoeleinden, terwijl daar geen toestemming voor is gegeven. Adresgegevens van individuen worden op internet gepubliceerd (doxing) en vooral steeds meer zelfstandige ondernemers hebben online en fysiek last van dreigende situaties.

Er wordt nu voorgesteld dat persoonsgegevens beter worden beschermd en ongewenste direct marketing wordt afgeremd [*]. Dat gaat betekenen dat de Kamer van Koophandel inkomsten mist, waar volgens het voorstel de ingeschreven ondernemers voor moeten gaan zorgen.

Bij het afsluiten van de tekst was wel de consultatie over de financiën bekend gemaakt. De consultatie over de andere wijzigingen zag ik nog niet.

Consultatie Wetsvoorstel financieringsstructuur Handelsregister
Inmiddels is de internetconsultatie Wetsvoorstel financieringsstructuur Handelsregister van start gegaan, die loopt tot 9 juni a.s.
Liefhebbers kunnen de consultatiedocumenten bekijken: het consultatie-voorstel, de consultatieversie van de memorie van toelichting, de Kamerbrief voortgang Datavisie Handelsregister en het beleidskompas.

 

 

[*] Lees de marketingoverlastklachten van degenen die reageerden op het bericht op security.nl .

De jacht is geopend op juristen | facilitator

Al langer wordt door de opsporing geroepen dat juristen belangrijke ‘facilitators‘ of ‘enablers‘ van criminaliteit zijn; ook sommige onderzoeksjournalisten zijn die mening toe gedaan.

De jacht op juristen is nu vol geopend, zo blijkt uit de zaken in de afgelopen tijd, zoals tegen de bekende (inmiddels voormalige) strafadvocaat Inez Weski [1] en tegen twee vreemdelingenrechtadvocaten [2]. De zaak van Weski loopt nog (iedereen is benieuwd welk bewijs het OM tegen haar heeft), de zaak tegen de vreemdelingenrechtadvocaten is geseponeerd omdat ten onrechte is vervolgd.

Ook de politieke journalisten zijn op jacht naar juristen. Journalist Hugo Rasch riep de lezers van zijn linkedin berichten de vorige maand op [3] om professionele dienstverleners zoals advocaten, notarissen en fiscalisten die als facilitator optreden bij hem te melden: “Mocht iemand een tip hebben over wettelijke poortwachters die optreden als facilitators van witwassen of andere vormen van witteboordencriminaliteit, houdt ik mij uiteraard warm aanbevolen“. Hij schreef dit mede naar aanleiding van de risicoanalyses over Nederlandse witwasrisico’s en terrorismefinancieringsrisico’s, waarvan de vraag is hoe juist deze zijn.
Een melding aan een journalist is een mooie manier om een appeltje schillen met een jurist die niet naar de zin van de melder heeft gehandeld.

 

 

Noten

[1] Over haar wordt veel geschreven. Onder meer in het NRC, Ex-advocaat Inez Weski over haar arrestatie: ‘Het Openbaar Ministerie bood me aan kroongetuige te worden’, 19 april 2024.

[2] Ineens zijn twee advocaten verdachten. ‘Ik dacht maar één ding: waar is het OM in godsnaam aan begonnen?’, NRC 26 april 2024.

[3] Bericht Hugo Rasch naar aanleiding van een artikel in Follow the Money over stichtingen administratiekantoor (‘staks’).

AVG-boete voor betaaldienstverlener Klarna

Betaaldienstverleners zoals banken en fintech bedrijven hebben zeer interessante financiële informatie over hun klanten, informatie die veel geld waard is. Hoewel ‘open finance’ nog niet bestaat, is de verleiding groot om er op vooruit te lopen.

Maar dat kan niet zo maar, zo leert de zaak van Klarna. Dit bedrijf kreeg een boete van de Zweedse privacy toezichthouder voor privacy overtredingen en Klarna kreeg in hoger beroep het lid op de neus, lees het bericht bij security.nl. Op GDPR Hub wordt verslag gedaan van het hoger beroep.