Telco’s faciliteren criminelen en soms komen ze een kantonrechter tegen

Lang geleden verbaasde ik me er al over dat telecombedrijven (telco’s) slordig met persoonsgegevens omgaan en identiteitsfraude faciliteren.

Onlangs deed de rechter in Amsterdam uitspraak in een zaak waarin telco’s andersoortige criminaliteit faciliteerden. Incassobureau Direct Pay probeerde voor telco T-Mobile een vordering op een jongere te incasseren, een jongere die door criminelen was bedreigd. Direct Pay stelde namens de telco dat de jongere, in de uitspraak [gedaagde] genoemd,

niet onder curatele of bewind staat en hij dus gewoon rechtshandelingen mocht verrichten. Dat dit onder dwang heeft plaatsgevonden was in ieder geval niet zichtbaar, want er was niemand in de winkel aanwezig behalve [gedaagde] zelf. Verder had [gedaagde] destijds een baan bij New York Pizza, dus had hij ook de financiën om een abonnement af te sluiten. Bovendien heeft [gedaagde] pas na drie maanden aangifte gedaan, hetgeen gek is als er echt sprake was van dwang. Ook is gebleken dat [gedaagde] bij Belcompany is geweigerd omdat hij al een andere abonnement die dag was aangegaan. Het abonnement bij T-Mobile heeft hij als eerste afgesloten. Naar aanleiding van de vraag waarom T-Mobile de telefoon niet heeft geblokkeerd in verband met de hoogte van het bedrag aan smsjes naar 0900 nummers heeft Direct Pay gesteld dat mensen vrij zijn te doen wat ze willen en [gedaagde] er zelf voor heeft gekozen de telefoon aan een derde af te staan. Of hij een waarschuwingsberichtje heeft ontvangen dat hij buiten zijn bundel ging, weet Direct Pay niet.

De jongere is het niet met Direct Pay eens:

3. [gedaagde] heeft ter zitting nogmaals aangevoerd dat de dwang in dit soort gevallen buiten de winkel plaatsvindt. Daar staan de criminelen waaraan de telefoon moet worden afgegeven. Als je zonder telefoon uit de winkel komt heb je een probleem. Het was in die tijd bekend bij de telefoonmaatschappijen dat er dergelijke bendes bestonden die (zwakkere) jongeren gebruikten om bij diverse winkels abonnementen aan te gaan om zo telefoontjes te verkrijgen. Omdat het personeel in de telefoonwinkels werkt op basis van targets hebben zij helemaal geen baat bij een goede check. Maar omdat ze op de hoogte zijn van dergelijke bende, behoort het juist bij de zorgplicht dat zij een deugdelijke kredietcheck verrichten. In het onderhavige geval is er niets aan [gedaagde] gevraagd. Er is niet gevraagd of hij werkte, geen salarisstrook, geen bankafschrift. Waarschijnlijk was het best aan [gedaagde] te zien was dat hij erg nerveus was. Hij was tijdens het aangaan van het abonnement alleen maar aan het bellen met de criminelen wat hij zou moeten zeggen als er vragen aan hem werden gesteld. Er werden echter helemaal geen vragen gesteld, ook niet waarom hij een nieuwe telefoon nodig had terwijl hij er een in zijn hand had. Zonder enig probleem kon hij een van de duurdere telefoons met abonnement krijgen. Als bij het aangaan van een dergelijk abonnement, wel gecheckt zou zijn of iemand dit wel kan betalen, zou hij buiten aan de criminelen ook een verhaal hebben waarom hij geen telefoon mee kreeg. Het feit dat dit destijds helemaal niet gebeurde, heeft de hoeveelheid bendes en uitbuiting van zwakkere jongeren in de hand gewerkt, aldus [gedaagde]. Desgevraagd heeft [gedaagde] aangegeven dat T-Mobile de enige provider is die actief is gaan innen. De overige providers, waar [gedaagde] onder dwang abonnementen is aangegaan, hebben het er bij laten zitten.

De kantonrechter maakt korte metten met het verhaal van Direct Pay / T-Mobile:

6. Niet betwist is dat telefoonmaatschappijen, en dus ook T-Mobile, ten tijde van het aangaan van de onderhavige overeenkomst bekend waren met het feit dat er bendes actief waren die door middel van bedreigingen, (zwakkere) jongeren abonnementen met ‘gratis’ dure telefoons lieten afsluiten, om vervolgens de telefoons van hen afhandig te maken om door te verkopen en/of te gebruiken. De kantonrechter is van oordeel dat met deze wetenschap de verkopers van dergelijke abonnementen extra alert dienen te zijn en zich er van dienen te vergewissen of van een dergelijke praktijk sprake is. Daarbij verdient aantekening dat T-Mobile voor een bepaald verdienmodel kiest waarbij bij aanschaf van een mobiele telefoon zo min mogelijk vragen gesteld worden en de inzet er zoveel mogelijk op is gericht om omzet te genereren. Daarbij wordt kennelijk het risico geaccepteerd dat er ook overeenkomsten worden gesloten die bij verder doorvragen, zeker bij jongeren en minder draagkrachtige, een risico inhouden.

7. Hoewel uit het verhaal van [gedaagde] blijkt dat hij vrij zenuwachtig de winkel is ingegaan, bellend met de persoon die hem bedreigde, is hem enkel gevraagd zijn identiteitsbewijs te tonen en € 0,01 te pinnen ter verificatie van zijn bankrekeningnummer. Hem is niets gevraagd over zijn financiële situatie en waarom hij een abonnement met telefoon nodig had, terwijl hij al een telefoon in zijn hand had. Hierdoor heeft T-Mobile in dit onderhavige geval haar zorgplicht geschonden om welke reden de kantonrechter van oordeel is dat T-Mobile zich niet kan beroepen op de goede trouw van artikel 3:44 lid 5 BW. Dat betekent dat het verweer van [gedaagde] slaagt en de overeenkomst met T-Mobile zal worden vernietigd. De vordering van Direct Pay wordt zodoende afgewezen.

 

Andere telco affaires
Ik herinner me dat T-Mobile in 2017 in het nieuws kwam als een van de ondernemingen die stiekem internetters volgende via de zgn. session-replay scripts. Een kwalijke zaak.

Ook verwerpelijk is dat eind vorig jaar bekend werd dat telco’s fraudeurs hielpen door makkelijk simkaarten om te ruilen. Onderbelicht is dat telco’s dit mogelijk maken doordat het makkelijk is voor criminelen om een 06-nummer over te nemen.

Het is tijd dat telecombedrijven aan de hoogste integriteitsnormen gaan voldoen en daar ook op worden getoetst.

 

Meer informatie:

Advertenties
Geplaatst in Fraude, witwasbestrijding, Wwft, Strafrecht | Tags: , , | Een reactie plaatsen

De nieuwste schurkenstatenlijst

Het maken van lijsten met landen die ‘belastingparadijs’ zouden zijn of onvoldoende zouden doen aan criminaliteitsbestrijding (bestrijding van witwassen), neemt bizarre vormen aan.

Zo lees ik in dit bericht dat een Amerikaanse instantie in een rapport, de US International Narcotics Control Strategy Report (INCSR), niet alleen de Verenigde Staten op een lijst van landen heeft gezet, die onvoldoende zou doen aan criminaliteitsbestrijding (“bestrijden van witwassen”), maar dat ook het hele Koninkrijk der Nederlanden, dus Nederland en de BES-eilanden op dat lijstje staan. Bizar genoeg staan de Amerikaanse Maagdeneilanden niet op dat lijstje.

Het bericht suggereert dat het witwasdelict alleen iets te maken zou hebben met drugshandel, wat onjuist is.

Het is makkelijker om de hele wereld op een zwarte lijst van witwaslanden te zetten. En om de mens af te schaffen.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, rechtsstaat e.d. | Tags: , | Een reactie plaatsen

Gevaarlijk Saksen | justitiële gezichtsherkenning in Saksen

Duitsland lijkt een gevaarlijk land te zijn. En Saksen moet wel de gevaarlijkste bondsstaat zijn, want in dat land is een wet aangenomen die het mogelijk maakt dat in de helft van Saksen en in de aangrenzende gebieden in Tsjechië en Polen, grootschalige gezichtsherkenning plaats vindt.

Wanneer volgen Nederland en België?

Meer informatie:
Neues Polizeigesetz: Die sächsische Polizei weiß, wo du wann warst, Netzpolitik 10 april 2019.

Geplaatst in ICT, privacy, e-commerce, Strafrecht | Tags: , , , | Een reactie plaatsen

E-mail is onveilig maar niemand doet iets

Al langer besteed ik op dit blog aandacht aan het feit dat e-mail volledig onveilig is en niet geschikt voor vertrouwelijke communicatie en zelfs niet voor ‘gewone’ persoonsgegevens, zoals naam en adres.

Hoewel die boodschap door diverse partijen wordt gebracht, onder meer door Brenno de Winter, gebeurt er nog steeds niets. Kennelijk moet er eerst van alles dramatisch mis gaan.

Onlangs maakte ik mee dat ik bij een leverancier iets bestelde voor mijn woning, de leverancier vulde op een tablet een formulier in dat ik op de tablet voor akkoord tekende. Vervolgens kreeg ik per e-mail van dit nit-wit-bedrijf alle in het formulier ingevulde persoonsgegevens retour, inclusief mijn handtekening. Op mijn klacht heb ik van dit bedrijf nog steeds geen reactie gekregen.

Iedereen maakt dit soort dingen mee.

Faciliteren van adtechbedrijven | communicatie via datagraaiers
Niet alleen e-mail is onveilig. Ook maken bedrijven en overheden gebruik van allerlei commerciële diensten van datagraaiers zoals Facebook en Twitter en faciliteren zij daarmee de adtech industrie. Erik Bouwer wees er in twee artikelen voor iBestuur op dat de overheid de adtechbedrijven niet hoort te faciliteren.

Een algemene tendens is dat dat bedrijven proberen telefooncontact te beperken en communicatie via adtech bedrijven te laten verlopen, met alle risico’s van dien.

In het artikel “De overheid moet voor eigen kanalen zorgen” bespreekt Bouwer de kritiek van lid van de Tweede Kamer Kees Verhoeven. Bouwer citeert Verhoeven:

Met het aanpakken van big tech zou ook gekeken moeten worden naar de inzet van digitale kanalen als Facebook, Twitter en WhatsApp in de communicatie tussen burger en overheid, zegt Verhoeven tegen iBestuur. “Dat overheden die kanalen toepassen, wekt de indruk dat ze een soort nutsfunctie hebben.” Wanneer je als overheid wilt laten zien dat communicatie met burgers veilig en onafhankelijk moet zijn, dan moet je niet via deze platforms te werk gaan, stelt hij. “In onze onlangs verschenen techvisie hebben we onder meer uitgelegd dat de overheid niet meer via WhatsApp en Facebook met de burger moet communiceren. De overheid moet hiervoor eigen kanalen ontwikkelen.

Ik hoop dat die onafhankelijke veilige communicatiekanalen er eindelijk komen, niet alleen voor communicatie met de overheid. Het wordt tijd dat het verantwoordelijk ministerie, binnenlandse zaken, iets gaat ondernemen.

 

Meer informatie:

Op dit blog, onder meer:

Geplaatst in ICT, privacy, e-commerce | Tags: , , , , , | Een reactie plaatsen

Informatieoverload

Een van de belangrijkste kwalen van deze digitale tijd is de overvloed aan informatie die mensen geacht worden tot zich te nemen.

Daaraan zijn onder meer de makers van digitale apparaten schuldig, bijvoorbeeld doordat alle apps op die apparaten in de gelegenheid worden gesteld om de gebruiker berichten (‘notificaties’) te sturen, ook als dat volstrekte nonsens is.

Zo erger ik me mateloos bij iedere smartphone of tablet die ik moet instellen, over het feit dat notificaties niet standaard uit staan of met één handeling kunnen worden uitgezet. Apple maakt zich in dat verband volledig belachelijk, door te roepen dat zij met ‘schermtijd‘ het apparaatgebruik beperken, terwijl zij niets hebben veranderd aan het notificatiesysteem. Wat mij betreft is het een tijd voor een wettelijk notificatieverbod.

Ook in de werksfeer worden gebruikers lastig gevallen met ondoordachte systemen.

Advocatenspam
Een voorbeeld daarvan is het geniale idee van de Nederlandse Orde van Advocaten (NOvA) om aan alle advocaten ‘tuchtrechtupdates’ toe te sturen per e-mail.

Nu is wel te begrijpen dat de Orde e-mail wil gebruiken, want via de website van de Orde is informatie voor advocaten moeilijk te vinden, de zoekfunctie werkt niet goed en de navigatie is volledig onlogisch. Het is daarom hoog tijd dat de website grondig onder handen wordt genomen en de kwaliteit van de site dramatisch wordt verhoogd. Een NOvA die kwaliteit van de advocaten verwacht dient zelf in alles aan zeer hoge kwaliteitsstandaarden te voldoen. Onderwerp voor een apart artikel.

Terug naar de tuchtrechtupdates:
veel advocaten vroegen zich af waarom zij zonder toestemming werden vergast op die updates. Op 12 maart jl. schreef Engelfriet al dat het spamverbod niet geldt voor de NOvA, al is het de vraag of het verstandig is om advocaten ongevraagd te verrassen met informatie die ook via een andere weg kan worden verspreid. Bijvoorbeeld via de landelijke nieuwsbrieven die de NOvA eveneens regelmatig verstuurt.

Mijn enthousiasme over die updates was niet erg groot, omdat ik de kwaliteit daarvan onvoldoende vond. Ik heb de NOvA aangeschreven en aangedrongen op betere tussenkopjes en een betere visuele weergave. Naar aanleiding van dat commentaar is de nieuwsbrief aangepast.

Verder heb ik heb ik aangedrongen op een mogelijkheid om de frequentie van de nieuwsbrief in te stellen, zodat advocaten in staat worden gesteld om hun informatie management goed in te richten. Op dat verzoek kreeg ik de nietszeggende reactie dat de NOvA op dit moment niet voornemens is de frequentie van de nieuwsbrief aan te passen.

Informatiemanagement
Ik ben van mening dat het de eigen verantwoordelijkheid van de advocaat is om het eigen informatiemanagement te beheren. Onderdeel daarvan is het zorgvuldig managen van e-mail nieuwsbrieven, zoals van de NOvA. Het past de NOvA niet om de advocaat in een bepaald gareel te dwingen, wat kennelijk inhoudt dat alleen gekozen kan worden tussen [a] geen nieuwsbrieven ontvangen; of [b] nieuwsbrieven ontvangen in een door de NOvA bepaalde frequentie. Als partij die kwaliteit bij de advocaten nastreeft, doet de NOvA er goed aan om een en ander technisch zo in te richten dat de advocaat de frequentie kan kiezen, wekelijks, tweewekelijks of maandelijks.

Ik heb de NOvA geattendeerd op het recente bericht van het Centraal Bureau voor de Statistiek waaruit blijkt dat dertig procent van de werknemers een informatie overload ervaart. Ik verwacht dat dit bij advocaten een veel hoger percentage is.

Overigens stuurt de NOvA nog meer e-mail berichten. De Rotterdamse NOvA stuurde in januari jl. 5 e-mails, in februari tel ik er twee en in maart één. Daar komen dat de nieuwsberichten van de landelijke NOvA bij (zo te zien één keer per maand) en de nieuwsberichten van het Advocatenblad (wekelijks).

Natuurlijk zijn dit niet de enige nieuwsbrieven die advocaten ontvangen. Voor verbetering van de nieuwsbrieven functionaliteit is dus alle aanleiding.

Zou het aan dovemansoren zijn?

 

 

Meer informatie:

Geplaatst in Dienstverlening - juridisch financieel [advocaten, accountants, belastingadviseurs e.d.], ICT, privacy, e-commerce, Kantoororganisatie | Tags: , | Een reactie plaatsen

De personenvennootschap met onderneming buiten Nederland en de uitkerende stichting | ubo-register wetsvoorstel

In het onlangs ingediende wetsvoorstel inzake het ubo-register (zie de eerdere post) zitten twee opmerkelijke elementen die in de eerder gehouden consultatie niet aan bod zijn geweest. Het betreft:

  • Een verplichting tot inschrijving van personenvennootschappen en rederijen die naar Nederlands recht zijn opgericht en die geen onderneming in Nederland exploiteren.
  • Een verplichting voor alle Nederlandse stichtingen om degenen aan wie ‘uitkeringen’ worden gedaan te registreren.

Personenvennootschappen met een onderneming buiten Nederland
Voorgesteld wordt om artikel 5 van de Handelsregisterwet 2007 als volgt te wijzigen (zie artikel I sub C voorstel):

Aan artikel 5 wordt, onder vervanging van de punt aan het slot van onderdeel e door een puntkomma, een onderdeel toegevoegd, luidende:

f. een onderneming die niet in Nederland is gevestigd en die toebehoort aan een in Nederland opgerichte maatschap, vennootschap onder firma, commanditaire vennootschap of rederij.

Dit heeft tot gevolg dat deze groep (personenvennootschappen en rederijen) verplicht zijn hun uiteindelijk belanghebbenden bij het Nederlandse handelsregister te registreren.

De memorie van toelichting verschaft geen informatie over dit voorstel. Allereerst is raadselachtig waarom oprichting in Nederland relevant zou zijn. Dat betekent immers niet automatisch dat Nederlands recht van toepassing is. Bovendien kan ik me voorstellen dat personenvennootschappen op enig moment een andere rechtskeuze doen. Dan is oprichting in Nederland al helemaal niet belangrijk meer.

De enige reden die ik kan bedenken voor dit voorstel (maar het staat nergens) is dat dit een ‘gat’ zou zijn in de Europese ubo-verplichtingen. Anders gezegd: als een in Duitsland gevestigde personenvennootschap die naar Nederlands recht is opgericht, zich daar niet in het ubo-register zou hoeven in te schreven, betekent dat incompleetheid van de Europese ubo-registers.

Mij lijkt dat er alle reden is voor een betere toelichting op dit voorstel dan nu in de memorie van toelichting is opgenomen.

De uitkerende stichting
Al even raadselachtig is het artikel dat aan boek 2 BW het volgende moet worden toegevoegd:

Na artikel 289 van Boek 2 van het Burgerlijk Wetboek wordt een artikel ingevoegd, luidende:

Artikel 290
1. Het bestuur van de stichting houdt een register bij waarin de namen en adressen van alle personen worden opgenomen aan wie een uitkering is gedaan die niet meer bedraagt dan 25 procent van het voor uitkering vatbare bedrag in een bepaald boekjaar, alsmede het bedrag van de uitkering en de datum waarop deze uitkering is gedaan.
2. Het register wordt regelmatig bijgehouden.

Het moet van de OECD
In de memorie van toelichting wordt gezegd dat het ‘moet’ van de OECD, onder verwijzing naar een rapport uit 2011. Dat rapport lijkt door misbruiksituaties te zijn geïnspireerd. Misschien is het nuttig om de OECD eens voor te lichten over de stichting naar Nederlands recht, aangezien de informatie uit het rapport een incompleet beeld geeft. Niet alle Nederlandse stichtingen zijn Panama Paper stichtingen. In Nederland zijn er zeer veel nette not-for-profit stichtingen die zich bezighouden met filantropie, het beheren van scholen en de exploitatie van ziekenhuizen.

In het het OECD rapport uit 2011 wordt gezegd dat de aanbevelingen uit het rapport geen betrekking hebben op de reguliere not-for-profit. De memorie van toelichting zegt daar echter niets over en  beperkt de reikwijdte van de verplichting niet tot Panama Paper stichtingen.

Niet gedefinieerde begrippen
Nog erger is dat in het voorgestelde artikel 290 begrippen worden gebruikt die het stichtingenrecht niet kent:

  • Het begrip ‘uitkering‘ komt in het stichtingenrecht niet voor. Doet een stichting-ziekenhuis uitkeringen aan de patiënten en betekent de nieuwe regel dat de patiënten in een register moeten worden opgenomen? Doet een stichting-universiteit uitkeringen aan studenten en moeten alle studenten in het register worden opgenomen?
  • Ook ‘het voor uitkering vatbare bedrag‘ komt in het stichtingenrecht evenmin voor. Wat betekent het?
  • Wordt met ‘personen‘ aan wie uitkeringen worden gedaan gedoeld op natuurlijke personen. Het staat er niet, zodat in het register ook anderen dan natuurlijke personen moeten worden opgenomen.

Nederlandse stichtingen zijn niet in het leven geroepen om uitkeringen te doen, uitzonderingen daargelaten (zoals pensioenfondsen). (Misschien dat dit bij buitenlandse stichtingen wel het geval is.)

Administratieplicht
Tot slot rijst de vraag hoe het artikel zich verhoudt tot de algemene administratieplicht die iedere stichting heeft op grond van het Burgerlijk Wetboek. Mij lijkt dat voor zover stichtingen uitkeringen doen (lijkt me vnl. iets voor pensioenfondsen) de gegevens al op grond van de algemene administratieplicht dienen te worden vastgelegd. Dat lijkt me afdoende. Misschien kan de Nederlandse overheid hier de OECD helpen het licht te te vinden.

Tot slot
Er is alle reden om de indieners van het wetsvoorstel intensief te bevragen over de achtergrond van dit wetsvoorstel. Wellicht kunnen de relevante OECD rapporten ook als kamerstuk worden ingebracht, zodat belanghebbenden de inhoud van die rapporten van commentaar kunnen voorzien.

Dit artikel is ook op het ondernemingsrechtweblog verschenen.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, rechtsstaat e.d., Personenvennootschap, Rechtspersonenrecht, Stichting en vereniging, Ubo-register | Tags: , , | Een reactie plaatsen

Slimme auto wordt nog slimmer | eCall 2

Europa is al langer bezig met verplichte digitalisering van voertuigen. Vanaf 1 april 2018 moeten alle voertuigen met het digitale eCall systeem zijn uitgerust. De inkt van de eCall regels was nog niet droog, of Europa komt al weer met iets nieuws.

Voor het gemak noem ik het voorstel eCall 2. De bestuurder moet volgens de plannen op digitale wijze bij de les worden gehouden. De samenvatting luidt:

1. For cars, vans, trucks and buses: warning of driver drowsiness and distraction (e.g. smartphone use while driving), intelligent speed assistance, reversing safety with camera or sensors, and data recorder in case of an accident (‘black box’).
2. For cars and vans: lane-keeping assistance, advanced emergency braking, and crash-test improved safety belts.
3. For trucks and buses: specific requirements to improve the direct vision of bus and truck drivers and to remove blind spots, and systems at the front and side of the vehicle to detect and warn of vulnerable road users, especially when making turns.

Volgens het persbericht zou de besturingsassistentie (driving assistance) tot minder menselijke fouten leiden. Dat is wat verrassend nu ik uit de artikelen over zelfrijdende auto’s afleid dat daarmee nog veel mis gaat. Is dit digitale naïviteit van Europa geïnspireerd door data hongerige autofabrikanten?

Privacy en cybersecurity
Over privacy en cybersecurity wordt in de persberichten niet gerept. Dat suggereert dat de data “binnen” de auto blijven en niet met fabrikanten of derden worden gedeeld. Uit een eerste blik op de documenten kon ik niet afleiden met wie welke gegevens worden uitgewisseld.

In de concept verordening komt “privacy” maar één keer voor, in een passage waarin staat dat de privacy- en databeschermingsregels moeten worden nageleefd, zonder “handjes en voetjes”. “Data protection” komt op meer pagina’s voor, onder meer op pagina 10, zonder dat wordt vermeld waar de data heen gaan. Opnieuw wordt naleving van de AVG beleden. Verwacht mag worden dat dit soort digitale systemen door de fabrikanten worden onderhouden, zodat er een intensieve data-uitwisseling met de fabrikanten gaat plaats vinden.

Datalekken op wielen
Dat over security zo weinig wordt gesproken is bijzonder, want de huidige ‘intelligente’ auto’s zijn rijdende datalekken, zo blijkt uit diverse artikelen, zoals uit het artikel in het FD van 2 april 2019, “Stortvloed aan data van automobilist naar fabrikant en derde partijen“. Uit het artikel blijkt dat de auto-fabrikanten de privacywet de Algemene Verordening Gegevensbescherming (AVG) niet naleven. Dat is niet nieuw want de ANWB is al langer bezig met het datagraaien van autofabrikanten.

Fabrikant Tesla kwam eind maart in het nieuws omdat de boordcomputer vele data onversleuteld opsloeg. Lees bijvoorbeeld het artikel bij Golem.de, 30 maart 2019 en een bericht op NU.nl van 31 maart jl. (maar het datalek kan al plaats vinden vóór de auto een wrak is).

Tot slot
Een prettige, maar niet genoemde bijkomstigheid is dat via deze systemen ook terroristen kunnen worden opgespoord, als de gegevens met de overheden worden gedeeld.
Geruststellend is verder dat je als mens je hersens en intuïtie niet meer hoeft te gebruiken. De overgang naar het robot-zijn wordt daarmee verlicht.

 

Meer informatie:

Complete lijst van verplichte voorzieningen:

• Advanced emergency braking (cars, vans)
• Alcohol interlock installation facilitation (cars, vans, trucks, buses)
• Drowsiness and attention detection (cars, vans, trucks, buses)
• Distraction recognition / prevention (cars, vans, trucks, buses)
• Event (accident) data recorder (cars, vans, trucks, buses)
• Emergency stop signal (cars, vans, trucks, buses)
• Full-width frontal occupant protection crash test – improved seatbelts (cars and vans)
• Head impact zone enlargement for pedestrians and cyclists -safety glass in case of crash (cars and vans)
• Intelligent speed assistance (cars, vans, trucks, buses)
• Lane keeping assist (cars, vans)
• Pole side impact occupant protection (cars, vans)
• Reversing camera or detection system (cars, vans, trucks, buses)
• Tyre pressure monitoring system (vans, trucks, buses)
• Vulnerable road user detection and warning on front and side of vehicle (trucks and buses)
• Vulnerable road user improved direct vision from driver’s position (trucks and buses)

Het persbericht:

Road safety: Commission welcomes agreement on new EU rules to help save lives
Brussels, 26 March 2019

The EU institutions have reached a provisional political agreement on the revised General Safety Regulation. As of 2022 new safety technologies will become mandatory in European vehicles to protect passengers, pedestrians and cyclists.
New technologies on the market can help reduce the number of fatalities and injuries on our roads, 90% of which are due to human error. In May 2018, the Commission proposed to make certain vehicle safety measures mandatory, including systems that reduce the dangerous blind spots on trucks and buses and technology that warns the driver in case of drowsiness or distraction. Advanced safety features will reduce the number of accidents, pave the way towards increasingly connected and automated mobility, and boost the global innovation and competitiveness edge of the European car industry.

Commissioner Elżbieta Bieńkowska, responsible for Internal Market, Industry, Entrepreneurship and SMEs, said: “Every year, 25,000 people lose their lives on our roads. The vast majority of these accidents are caused by human error. We can and must act to change this. With the new advanced safety features that will become mandatory, we can have the same kind of impact as when the safety belts were first introduced. Many of the new features already exist, in particular in high–end vehicles. Now we raise the safety level across the board, and pave the way for connected and automated mobility of the future.”

The new mandatory safety features include (see full list here):
1. For cars, vans, trucks and buses: warning of driver drowsiness and distraction (e.g. smartphone use while driving), intelligent speed assistance, reversing safety with camera or sensors, and data recorder in case of an accident (‘black box’).
2. For cars and vans: lane-keeping assistance, advanced emergency braking, and crash-test improved safety belts.
3. For trucks and buses: specific requirements to improve the direct vision of bus and truck drivers and to remove blind spots, and systems at the front and side of the vehicle to detect and warn of vulnerable road users, especially when making turns.

The Commission expects that the proposed measures will help save over 25,000 lives and avoid at least 140,000 serious injuries by 2038. This will contribute to the EU’s long-term goal of moving close to zero fatalities and serious injuries by 2050 (“Vision Zero”).
In addition to protecting people on European roads, the new advanced safety features will help drivers get gradually used to the new driving assistance. Increasing degrees of automation offer significant potential to compensate for human errors and offer new mobility solutions for the elderly and physically impaired. All this should enhance public trust and acceptance of automated cars, supporting the transition towards autonomous driving.

Next steps
The political agreement reached by the European Parliament, Council and Commission in so-called trilogue negotiations is now subject to formal approval by the European Parliament and Council.The new safety features will become mandatory from 2022, with the exception of direct vision for trucks and buses and enlarged head impact zone on cars and vans, which will follow later due to the necessary structural design changes.

Background
In recent years, the EU has introduced a range of mandatory measures, which contributed to an estimated reduction of 50,000 fatal traffic casualties per year. These measures include electronic stability control systems on all vehicles, as well as advanced emergency braking systems and lane departure warning systems on trucks and buses.
In 2017, the Commission launched a public consultation to gather stakeholder views on potential improvements to current vehicle safety measures. In May 2018, the Commission then proposed a review of the General Safety Regulation and the Pedestrian Safety Regulation, under the Third “Europe on the Move” set of actions. The revised General Safety Regulation goes hand in hand with an efficient safety management of road infrastructure, where the Commission’s proposal was agreed in February 2019.

The Commission also presented a Communication on Connected and Automated Mobility to make Europe a world leader for autonomous and safe mobility systems. As a first deliverable for connected mobility the Commission had adopted new rules that step up the deployment of Cooperative Intelligent Transport Systems (C-ITS) on Europe’s roads. C-ITS allow vehicles to ‘talk’ to each other, to the road infrastructure, and to other road users – for instance about dangerous situations, road works and the timing of traffic lights, making road transport safer, cleaner and more efficient.

For more information
Press release: Third ‘Europe on the Move’ package
Questions & Answers: Third ‘Europe on the Move’ package
Factsheet: Safe Mobility
Factsheet: Connected & Automated Mobility
Visual: All new safety features in an overview
Website: Safety in the automotive sector


Aanvulling 12 april 2019
Over de ‘slimme’ auto gaat ook dit bericht bij de VPRO. Bij het Europees parlement verscheen op 11 april dit bericht: “General safety of vehicles and protection of vulnerable road users“, er wordt verwezen naar deze briefing (pdf). Ook hier zie ik niets over bij wie alle persoonsgegevens die de intelligente systemen verzamelen terecht komen.

Geplaatst in Europa, ICT, privacy, e-commerce | Tags: , , , , , , | Een reactie plaatsen

Wetsvoorstel ubo-register ingediend | Wwft

Vandaag is de indiening bekend gemaakt van het wetsvoorstel inzake het ubo-register, het register van uiteindelijk belanghebbenden. Dit is een door Europa verplicht gesteld register.

Hierna het persbericht:

UBO-register vanaf januari 2020 in werking
Nieuwsbericht | 04-04-2019 | 13:08

Vanaf januari 2020 treedt het UBO-register in Nederland in werking. UBO (ultimate beneficial owner) staat voor de uiteindelijk belanghebbende. Ondernemingen en rechtspersonen zijn in 2020 verplicht om hun (in)directe eigenaren te registreren. Een deel van deze persoonsgegevens zoals de naam en het economisch belang van de UBO wordt via het register openbaar. Het wetsvoorstel om het UBO-register te implementeren is vandaag, na advies van de Raad van State, ingediend bij de Tweede Kamer.

Uiteindelijk belanghebbende
Doel van het register is het tegengaan van financieel-economische criminaliteit, zoals witwassen van geld en terrorismefinanciering door transparantie over wie de uiteindelijk belanghebbende van een onderneming is. Het betreft de natuurlijke persoon die, al dan niet achter de schermen, bij een onderneming of rechtspersoon aan de touwtjes trekt.
Minister Hoekstra: “Het is van groot belang dat wordt voorkomen dat het financiële stelsel wordt misbruikt voor bijvoorbeeld witwassen. Ik zal me daarom blijvend inzetten op integriteit binnen de sector.”

Kamer van Koophandel
Het register waarin de UBO-informatie wordt opgenomen, zal onderdeel worden van het handelsregister en daarmee onder beheer vallen van de Kamer van Koophandel. Een deel van de UBO-informatie zal openbaar toegankelijk zijn. Voor bescherming van de privacy en persoonlijke levenssfeer van de UBO’s zijn waarborgen opgesteld.

Vierde Europese anti-witwasrichtlijn
Invoering van een UBO-register is een uitvoering van de vierde Europese anti-witwasrichtlijn. Doel van deze richtlijn is het voorkomen van het gebruik van het financiële stelsel voor het witwassen van geld of terrorismefinanciering.

Meer informatie vindt u hier.

Er wordt verwezen naar een pagina die onvolledige informatie over het ubo-register geeft. Er ontbreekt dat een groot aantal statutair bestuurders als ‘ubo’ wordt aangemerkt.

Meer informatie:


Aanvulling 12 april 2019
Zie over het voorstel ook het KNB bericht van 5 april jl.:

UBO-register januari 2020 in werking
05-04-2019

Het UBO-register treedt vanaf januari 2020 in Nederland in werking. Ondernemingen en rechtspersonen zijn dan verplicht om hun UBO’s te registreren. Minister Wopke Hoekstra van Financiën heeft het wetsvoorstel om het UBO-register te implementeren donderdag ingediend bij de Tweede Kamer.
Op grond van de vierde en vijfde anti-witwasrichtlijn moeten de lidstaten van de Europese Unie een UBO-register instellen. In dat register worden van juridische entiteiten zoals vennootschappen, stichtingen en trusts de ‘uiteindelijk belanghebbenden’ (ultimate beneficial owners, UBO’s) vastgelegd. Doel van het register is het tegengaan van financieel-economische criminaliteit, zoals witwassen van geld en terrorismefinanciering door duidelijkheid over wie de uiteindelijk belanghebbende van een onderneming is.

Fouten constateren
Het register waarin de UBO-informatie wordt opgenomen, wordt onderdeel van het handelsregister en valt onder beheer van de Kamer van Koophandel (KvK). Een deel van de UBO-informatie wordt openbaar. Instellingen die op grond van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) verplicht zijn cliëntenonderzoek te verrichten worden verplicht fouten die zij in het register constateren aan de KvK te melden.

Zelf vullen
De KNB is niet enthousiast over de komst van dit register omdat de bruikbaarheid van het register beperkt zal zijn. Het register zal door de hierin op te nemen entiteiten zelf gevuld gaan worden. Hierdoor is de kans groot dat de inhoud van het register niet betrouwbaar is. De inhoud kan slechts als hulpmiddel worden gebruikt om tot de vaststelling van de identiteit van UBO’s te komen. De KNB pleit voor het instellen van een centraal aandeelhoudersregister waarin betrouwbare authentieke gegevens van aandeelhouders worden opgenomen.

Effectieve samenwerking
Met het UBO-register wordt niet alleen binnen Nederland, maar ook binnen de hele Europese Unie transparantie beoogd. De UBO-registers zullen immers door samenwerking tussen lidstaten onderling toegankelijk zijn. De Raad van State wijst erop dat voor effectieve samenwerking wel vereist is dat de lidstaten de wijze waarop zij gegevens in de registers actueel, accuraat en volledig houden, voldoende op elkaar afstemmen. Volgens minister Hoekstra is elke lidstaat verplicht ervoor te zorgen dat binnen haar grondgebied opgerichte vennootschappen en andere juridische entiteiten toereikende, accurate en actuele informatie over wie hun UBO’s zijn inwinnen, bijhouden en registreren.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, rechtsstaat e.d., Ubo-register | Tags: , , , | Een reactie plaatsen

Opt-out PSD2 | reactie van een Nederlandse bank

PSD2 maakt mogelijk dat betaalgegevens van een rekeninghouder zonder diens toestemming terecht komen bij fintech bedrijven. Dat doet zich voor als een wederpartij bij een betalingstransactie gebruik maakt van “rekeninginformatiediensten”.

Voorbeeld:

Rekeninghouder X heeft geld geleend aan rekeninghouder Y. Rekeninghouder Y maakt gebruik van rekeninginformatiediensten, waardoor een dochteronderneming van Google alle bankrekeninggegevens van Y krijgt. In die bankrekeninggegevens zit ook informatie van X. De rekeninginformatiedienstverlener is verplicht om toestemming aan Y te vragen om toegang te krijgen tot diens bankrekening. Aan X wordt niets gevraagd. Dat betekent dat de gegevens van X zoals blijken uit de bankrekening van Y, zonder toestemming van X bij de genoemde Google-dochter terecht komen.

Degene wiens gegevens zonder toestemming gedeeld worden, in het voorbeeld ‘X’, worden ook wel ‘stille derde’ of de ‘silent third party’ genoemd. Veel Nederlanders zijn er niet van gecharmeerd dat hun gegevens door rekeninghouders die van rekeninginformatiediensten gebruik maken, worden verschaft aan fintech bedrijven. Officieel mogen deze de gegevens van de stille derde niet voor iets anders gebruiken dan de dienst voor de toestemming gevende rekeninghouder. De zorg is groot dat het daar niet bij blijft. Om die reden pleit Privacy First voor een PSD2-me-niet-register. Lees ook dit bericht.

Brief aan de bank
Al langer heeft het PSD2 datalek mijn aandacht. Bij een bericht van 10 november 2017 heb ik een conceptbrief opgenomen, die door één van de lezers van dit blog is gebruikt. Hierna volgt de reactie van de bewuste bank:

Dank u voor uw uitgebreide brief waarin u uw zorg uit over de gevolgen van de Payment Services Directive 2 (PSD2). U spreekt in deze brief een verbod uit waaraan ik niet kan voldoen. Dat licht ik graag toe.

Een van de meest besproken aspecten van de PSD2 is de mogelijkheid om transactieinformatie te delen met derden. Zoals u weet heeft [bank] een dubbele drempel opgeworpen om de transacties op uw rekeningen te delen met een andere betaaldienstverlener. Hiervoor moet u eerst de mogelijkheid om te gaan delen aanzetten (`hoofdschakelaar’). Vervolgens moet u een specifieke betaaldienstverlener expliciete toestemming geven met uw [pas].

Ik neem echter aan dat u niet van plan bent uw transacties met een andere betaaldienstverlener (of rekeninginformatiedienstverlener zoals u het noemt) te gaan delen. U spreekt in uw brief uw expliciete zorg uit over `derdeninformatie’. Deze transactiegegevens bevatten immers gegevens van betalers en ontvangers die hiervoor geen toestemming gegeven hebben. U schrijft in uw brief dat derdeninformatie niet mag worden afgegeven zonder toestemming van deze derden.

Hoewel ik geen jurist ben betwijfel ik of u daar gelijk in heeft. De Autoriteit Persoonsgegevens (AP) stelt expliciet dat een betaaldienstverlener een grondslag volgens de Algemene Verordening Gegevensbescherming (AVG) moet hebben om persoonsgegevens te mogen verwerken. Dat betekent volgens mij in praktijk dat een betaaldienstverwerker een dossier mag aanleggen met transactiegegevens van een persoon die toestemming gaf, maar daaruit geen dossiers van derden mag destilleren. Ze mogen de persoonsgegevens van derden uit de transactiegegvens niet verwerken zonder grondslag voor deze derden.

Dit is complexe materie, en ik kan u hier geen sluitende uitleg over geven. Feit is dat de AP bij de implementatie van de richtlijn verschillende adviesrondes gedaan heeft. Ik verwijs u dan ook graag naar autoriteitpersoonsgegevens.nl om hier meer informatie over te krijgen.

In de richtlijn zoals die nu van kracht is, is de expliciete toestemming van een rekeninghouder voldoende om transactieinformatie te delen met een andere betaaldienstverlener, inclusief de derdeninformatie. [bank] heeft dan ook geen technische of andere maatregelen genomen om te voorkomen dat derdeninformatie via de toestemming van de rekeninghouder (Waar u een financiële transactie mee heeft gedaan) bij een andere betaaldienstverlener terecht komt.
U verbiedt mij (derden)informatie af te geven aan een door een andere gebruiker ingeschakelde rekeninginformatiedienstverlener. Graag leg ik u uit waarom ik niet aan dat verbod kan voldoen.

Strikt genomen betekent uw verbod dat ik bij elke transactie op uw rekening eerst zou moeten toetsen of de ontvanger (of storter) gebruik maakt van een andere betaaldienstverlener. Er bestaat echter geen openbaar register met PSD2 toestemmingen, waardoor ik bij elke transactie de andere partij moet benaderen. Afgezien van de kosten en procedures die hierbij zou komen kijken zou dit praktisch bijzonder lastig zijn bij bijvoorbeeld een iDealbetaling of een pinbetaling. U zou dan moeten wachten tot de betreffende rekeninghouder reageert op onze navraag. Daarbij zijn PSD2 toestemmingen ook persoonsgegevens. Ik kan dus niet eisen dat een rekeninghouder of zijn bank hier inzage in geven.

Om aan uw verbod te voldoen zie ik op dit moment maar één mogelijkheid, en dat is uw rekeningen blokkeren voor alle transacties. Dat is neem ik aan niet uw bedoeling, want daarmee wordt het gebruik van uw rekening onmogelijk. Wanneer u ook na overleg met de AP van mening blijft dat uw transactiegegevens in de vorm van derdeninformatie een onoverkomelijk bezwaar zijn zult u iedereen die u betaalt of van wie u geld ontvangt vooraf moeten vragen of zij andere betaaldienstverleners gebruiken. [bank] kan dat niet voor u doen.

Het antwoord is onbevredigend.

Als het technisch mogelijk is voor de bank om rekeninginformatie te leveren aan betaaldienstverleners (die rekeninginformatiediensten leveren) dan moet het ook mogelijk zijn om de gegevens van rekeninghouders die voor PSD2 opt-out hebben gekozen te anonimiseren.

Toestemming rekeninghouder
Al weer een hele tijd geleden heb ik PSD2 doorgelezen en viel mij op dat aan de stille derde geen aandacht werd besteed. Verder staat in PSD2 heel nadrukkelijk dat de rekeninghouder toestemming moet geven voor het delen van informatie. Mij lijkt dat dit zowel voor degene geldt die van rekeninginformatiediensten gebruik wil maken, als voor de stille derde. Het is iets om dieper in te duiken.

 

Meer informatie:

  • Lees over de stille derde de brief van EDPB (aankondiging, html) aan Europarlementariër Sophie in’t Veld, intro EDPB, op 5 juli 2018 op de site gepubliceerd:

The EDPB adopted a letter on behalf of the EDPB Chair addressed to Sophie in’t Veld MEP regarding the revised Payments Services Directive (PSD2 Directive). In its reply to Sophie in’t Veld the EDPB sheds further light on ‘silent party data’ by Third Party Providers, the procedures with regard to giving and withdrawing consent, the Regulatory Technical Standards, the cooperation between banks and the European Commission, EDPS and WP29 and what remains to be done to close any remaining data protection gaps.

Geplaatst in Financieel recht, onder meer Wft, Wtt, ICT, privacy, e-commerce | Tags: , , | 2 reacties

AMLD4 comparison

Those who are interested in the bureaucracy that Europe is creating and that is the basis for surveillance by governments and ‘obliged entities‘ like banks, of every citizen, can read the automatic comparison I made of the consolidated version of the 4th anti money laundering directive and the original directive.

Please note that preamble and notes are not included.

Comparison (pdf)

I have added the comparison to my page with AML-information (in Dutch).

Original directive:
Directive (EU) 2015/849 of the European Parliament and of the Council of 20 May 2015 on the prevention of the use of the financial system for the purposes of money laundering or terrorist financing, amending Regulation (EU) No 648/2012 of the European Parliament and of the Council, and repealing Directive 2005/60/EC of the European Parliament and of the Council and Commission Directive 2006/70/EC.EN

Consolidated version:
Version of 9 July 2018. Please note EU’s disclaimer:

This text is meant purely as a documentation tool and has no legal effect. The Union’s institutions do not assume any liability for its contents. The authentic versions of the relevant acts, including their preambles, are those published in the Official Journal of the European Union and available in EUR-Lex. Those official texts are directly accessible through the links embedded in this document

> EN

Geplaatst in English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, rechtsstaat e.d., ICT, privacy, e-commerce | Tags: | 1 reactie