Internetconsultatie Implementatiewet vierde anti-witwasrichtlijn gesloten | groot aantal bijdragen van beroeps- en brancheorganisaties

Gisteren is de internetconsultatie Implementatiewet vierde anti-witwasrichtlijn gesloten. Volgens de site zijn er zestien openbare reacties op het consultatievoorstel binnen gekomen. Een groot aantal beroeps- en belangenorganisaties hebben mee gedaan:

  • accountantsorganisatie NBA
  • Register Belastingadviseurs
  • Nederlandse Vereniging van Banken
  • VNO-NCW en MKB-Nederland
  • trustkantorenorganisatie Holland Quaestor
  • notarissenorganisatie KNB
  • VBIN
  • NVM / VBO Makelaar / VastgoedPRO
  • VFN
  • belastingadviseursorganisatie NOB
  • Nationale Goede Doelen Loterijen

wat aangeeft hoe belangrijk deze regelgeving is.

Zelf heb ik ook een duit in het zakje gedaan. De tekst volgt hier onder.

Consultatiebijdragepdf-versie

Hierbij maak ik gebruik van de mogelijkheid om op persoonlijke titel deel te nemen aan deze internetconsultatie, die is aangekondigd op https://www.internetconsultatie.nl/implementatiewetvierdeantiwitwasrichtlijn.

Ik onderschrijf de kritiek dat het ongelukkig is dat de consultatie in de zomer valt en zo’n korte periode wordt gehouden; een en ander terwijl de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) een belangrijke en voor Wwft-plichtige ondernemingen zeer belastende wet is.

Helaas ontbrak mij de tijd om het voorstel in detail te bestuderen en te becommentariëren. In deze reactie meld ik wat mij is opgevallen.

Achtergrond

Al gedurende geruime tijd volg ik de ontwikkelingen rondom de Wwft, een wet die zijn oorsprong heeft in regelgeving bedoeld voor financiële instellingen als banken. [noot 1]

Bijzonder aan de Wwft is dat de wet voor een groot aantal soorten ondernemingen geldt, van groot (grootbanken) tot en met zeer klein (kleine makelaars- en notariskantoren).

Al lange tijd gaat de internationale regelgeving inzake bestrijding van financiële criminaliteit (‘witwassen’) uit van een ‘one size fits all‘ gedachte. Er zijn compliance regels bedacht voor banken en dan moeten de vele andere soorten ondernemingen, groot en klein, aan dezelfde regels voldoen, met dezelfde kwaliteit.

De Nederlandse Wwft is gebaseerd op Europese regelgeving maar bevat ook vele uitbreidingen ten opzichte van het Europese recht. De wet verandert zeer snel, met als gevolg dat Wwft-plichtige ondernemingen de grootste moeite hebben überhaupt te doorzien welke juridische verplichtingen ze hebben.

Voorts is een grote vraag of kleine en middelgrote ondernemingen die een ‘andere tak van sport’ hebben dan banken wel in staat zijn om witwassen en terrorismefinanciering te onderkennen.

Uit eigen ervaring is mij bekend dat voor kleine en middelgrote ondernemingen en organisaties de naleving van de Wwft zeer grote problemen oplevert, alleen al doordat de regelgeving niet wordt begrepen.

I. Vragen over de algemene context
Deze consultatie vindt plaats omdat de 4e Europese antiwitwasrichtlijn (AMLD4) moet worden geïmplementeerd.

Het voorliggende consultatievoorstel bevat geen antwoorden op algemene vragen inzake de context van de voorgestelde wijzigingen. Ik zou het op prijs stellen als er wel informatie over de context zou worden gegeven.

Graag verzoek ik de volgende vragen te beantwoorden in het inleidende deel van de toelichting:

[1] Op welke punten wijkt de huidige Nederlandse antiwitwaswet (Wet ter voorkoming van witwassen en financieren van terrorisme, ‘Wwft’) af van de huidige Europese richtlijnen.
[2] Is onderzoek gedaan naar de bekendheid van Wwft-plichtige ondernemingen met de huidige Wwft en is er onderzoek gedaan naar de vraag of de Wwft wel uitvoerbaar is voor Wwft-plichtige ondernemingen? Zo ja, om welke publicaties gaat het en waar op internet zijn ze te raadplegen.
[3] Het voorstel heeft tot gevolg dat de Wwft voor een groot deel wordt herschreven. Kan worden aangegeven op welke punten een wijziging ten opzichte van de huidige Wwft wordt beoogd en waar een wijziging het gevolg is van AMLD4.
[4] Kan exact worden aangegeven op welke punten het consultatievoorstel verder gaat dan AMLD4.
[5] Kan bij ieder van de onder [4] bedoelde afwijkingen worden aangegeven wat de reden is om de afwijking op te nemen of (als de afwijking al bestond) te handgaven?
[6] Gesteld dat er op basis van AMLD4 nog steeds grote verschillen per EU-land zullen zijn met betrekking tot de wijze waarop een en ander is geregeld: is wel gewenst dat de regelgeving binnen de EU zo uiteenloopt?
[7] Kan de Nederlandse overheid zorg dragen voor een witwas- en terrorismefinancieringsdatabase waarin via verschillende ingangen kan worden gezocht naar informatie over landen, producten en trends. Toelichting: op dit moment wordt dit niet door commerciële aanbieders aangeboden op een laagdrempelige en voor kleine en middelgrote ondernemingen betaalbare wijze.
[8] Het aantal aanbieders van personeninformatie (persoonsgegevens over bestuurders, uiteindelijk belanghebbenden, politically exposed persons) neemt toe, terwijl er geen enkel zicht is op [a] de kwaliteit van de gegevens in hun databases; [b] de integriteit van deze aanbieders. Mij zijn klachten bekend over de kwaliteit van de gegevens; voorts is er een personenaanbieder (Experian) wiens gegevens in handen van criminelen zijn gekomen. Kan worden toegelicht of en wanneer deze aanbieders gereguleerd zullen gaan worden; zo nee: waarom er geen regelgeving nodig zou zijn terwijl het om meerdere redenen (ook privacy, security) gevaarlijke partijen zijn, waarbij ik verwijs naar de recent bekend geworden hack bij World-Check (zie onder meer http://www.bbc.com/news/technology-36662612).
[9] Onlangs is voorgesteld om AMLD4 verder te wijzigen. Waarom wordt deze consultatie niet ingetrokken en een nieuwe consultatie gestart op basis van de gewijzigde AMLD4.

II. Uiteindelijk belanghebbende, met name bij de stichting

Een van de thema’s in AMLD4 die veel verwarring oplevert, is de nieuwe definitie van de uiteindelijk belanghebbende (ubo), met name bij stichtingen. Zoals ook uit een aantal andere reacties in deze consultatie blijkt, bestaat de indruk dat iedere rechtspersoon een uiteindelijk belanghebbende moet hebben.

AMLD4 bevat een zeer cryptische tekst met betrekking tot de uiteindelijk belanghebbende, waaruit ik niet kan afleiden dat een rechtspersoon, respectievelijk een stichting, altijd een uiteindelijk belanghebbende zou moeten hebben, maar wel dat in situaties waarin er mogelijk wél iemand is die zeggenschap heeft in combinatie met een financieel belang, als ubo kan worden aangemerkt.

Veel klassieke not-for-profit organisaties hebben de vorm van een stichting, bijvoorbeeld pensioenfondsen en ziekenhuizen. Het kan onmogelijk worden gezegd dat statutair bestuurders van dergelijke stichtingen een ‘financieel belang’ hebben als bedoeld in AMLD4. Als ook dergelijke stichtingen een ubo zouden hebben, zal dit er toe moeten leiden dat in het toekomstige ubo-register het financiële belang van dergelijke ubo’s op 0% moet worden gesteld.

NB Stichtingen die wel een ubo hebben zijn er natuurlijk ook, dat zijn de stichtingen die goederen houden ten titel van beheer, zoals de stichting administratiekantoor die aandelen in een besloten of naamloze vennootschap houdt ten behoeve van certificaathouders. In die setting kan een bestuurder van de stichting wellicht uiteindelijk belanghebbende zijn als hij ook certificaten houdt. Ook kunnen certificaathouders ubo zijn. Ook stichtingen die andere vermogensbestanddelen ten titel van beheer houden, kunnen een ubo hebben.

Mijn vragen:

[1] Net als enige andere deelnemers aan deze consultatie, verzoek ik de ministeries om in de toelichting uitvoerig uiteen te zetten wat de strekking is van de nieuwe ubo-bepaling in AMLD4.
[2] Voorts verzoek ik de ministeries uitvoerig toe te lichten waarom statutair bestuurders en/of leden van leiding van de stichting tot ubo worden aangemerkt als zij geen financieel belang hebben bij de stichting, anders dan dat zij een managementvergoeding ontvangen.
[3] Als statutair bestuurders en/of leden van leiding van de stichting zonder financieel belang als ubo worden aangemerkt: kan worden toegelicht of dat in overeenstemming is met de Europese rechtsbeginselen.
[4] Kan worden toegelicht welke consequenties het heeft voor het cliëntenonderzoek bij een stichting als statutair bestuurders en/of leidinggevenden als ubo worden aangemerkt.
[5] Kan worden toegelicht of de statutair bestuurders en/of leidinggevenden die als ubo van een stichting worden aangemerkt medewerking moeten verstrekken naar een onderzoek naar herkomst van hun vermogen en kan in dat verband aandacht worden besteed aan de vraag of dit in overeenstemming is met de Europese rechtsbeginselen.

Verplichtingen op het niveau van de Wwft-plichtige onderneming

[1] Kan worden toegelicht waarom de algemene risicobeoordeling (artikel 2b) en gedragslijnen e.d. (artikel 2c) altijd op het niveau van de Wwft-plichtige onderneming moet worden vastgesteld, terwijl dit voor kleine en middelgrote ondernemingen weinig zinvol lijkt.
[2] Gesteld dat de tekst van artikelen 2b en 2c worden gehandhaafd, kan dan vrijstelling worden verleend aan kleine en middelgrote ondernemingen?
[3] Kan worden toegelicht waarom de klokkenluidersregelingen als bedoeld in artikel 20a op het niveau van de Wwft-plichtige onderneming moet worden gerealiseerd, terwijl dit voor kleine en middelgrote ondernemingen waarschijnlijk niet uitvoerbaar en zinvol zal zijn. Kan worden aangegeven waarom niet wordt gekozen voor een systematiek die aanpassing naar type onderneming, branche en dergelijke mogelijk maakt.

Handhaving

[1] Het is ongewenst dat bestuurlijke boetes zonder tussenkomst van de rechter wordt opgelegd. Voorts is ook overigens de rechtsbescherming in de Wwft (en ook elders in het financiële recht, zoals Wet financieel toezicht en Wet toezicht accountantsorganisaties) volstrekt onvoldoende en is ingrijpende herziening nodig. Kernpunten: ingrijpende beslissingen, zoals hoge boetes en andere belangrijke sancties, dienen door de rechter te worden genomen. Een speciale spoedprocedure kan worden gecreëerd voor spoedeisende zaken.
[2] Artikel 32d: het is ongewenst dat een dergelijk beroepsverbod zonder tussenkomst van de rechter wordt opgelegd.
[3] Artikel 32e en verder: ook publicatie van een bestuurlijke sanctie is een sanctie die met meer rechtsbescherming wordt omgeven, dan in het voorstel is opgenomen. Het is ongewenst dat een dergelijke sanctie zonder tussenkomst van de rechter wordt opgelegd.

Overig
[1] Artikel 33 lid 4: het is volstrekt overbodig dat een Wwft-plichtige onderneming het bericht van FIU zou moeten bewaren. Deze verplichting dient te vervallen.
[2] Artikel 33 lid 6 en 7: het is niet correct dat de eis dat er ‘systemen’ moeten zijn voor alle Wwft-plichtige ondernemingen dient te gelden. Deze verplichting dient te worden beperkt tot grote financiële instellingen.

Tot slot

Naar ik hoop zal er acht op deze consultatiereactie worden geslagen.
Ellen Timmer,
Rotterdam, 16 augustus 2016

BIJLAGE – FATF’S ONE-SIZE-FITS-ALL BENADERING

Hierna enige opmerkingen over de one-size-fits-all benadering van FATF.

In het verslag van een FATF vergadering die in juni jl. heeft plaats gevonden [noot 2], wordt gemakkelijk gezegd dat wat een bank kan op het gebied van cliëntenonderzoek, ook mogelijk moet zijn voor een notariskantoor waar in totaal vijf mensen werkzaam zijn:

CDD requirements, including requirements to identify and verify beneficial owners, are often well-implemented by banks, but much less so by other key gatekeepers (e.g., company formation agents, lawyers, and trust-and-company-service providers). This problem is exacerbated because supervision of these sectors for compliance with these requirements is often less robust than it is in the banking sector.

Aandacht voor de juridische context (die van land tot land sterk verschilt) en voor het type ondernemingen dat aan bepaalde verplichtingen moet voldoen lijkt bij FATF te ontbreken.

Het citaat hierboven komt uit een lijstje van ‘main implementation challenges’ op het gebied van transparantie en ultimate beneficial ownership, geformuleerd door de FATF:

a) Basic information relating to company registration is not always sufficiently accurate and accessible in the country.
b) CDD requirements, including requirements to identify and verify beneficial owners, are often well-implemented by banks, but much less so by other key gatekeepers (e.g., company formation agents, lawyers, and trust-and-company-service providers). This problem is exacerbated because supervision of these sectors for compliance with these requirements is often less robust than it is in the banking sector.
c) Companies are required to maintain registers of their shareholders or members. However, often registries do not verify the information received. This means that the information contained in registries is not always accurate or up-to-date.
d) Companies are often not subject to sanctions for failing to keep their shareholder registry accurate and up-to-date as required.
e) Data protection and privacy laws and other obstacles to information sharing, often impede the competent authorities from getting timely access to adequate, accurate and up-to-date basic and beneficial ownership information. For example, even at the domestic level, tax authorities are often unable to share information with law enforcement authorities. These problems are amplified in the context of information sharing at the international level.
f) Even where basic and beneficial ownership information is shared in a timely way (domestically or with foreign authorities), such exchange is of little value if the information is not accurate or up-to-date.

Hier en ook elders in FATF publicaties kom ik allerlei zaken tegen die vanuit Nederlands perspectief vreemd zijn.

Aandeelhoudersregistratie
Zo is het merkwaardig in onderdeel c) en d) te lezen dat ondernemingen hun registratie van aandeelhouders niet up-to-date houden. In Nederland zijn de meeste aandelen op naam en Nederland kent de verplichting tot levering van dergelijke aandelen via tussenkomst van een notaris, zodat de personalia van de aandeelhouder altijd bekend zijn. Voor het oproepen van aandeelhouders voor de algemene vergadering en het uitkeren van dividend is nodig dat de onderneming de aandeelhouder kent. Dus onderdeel c) en d) zijn voor Nederland onjuist.

Privacy als alibi
Ook onderdeel e) over privacy en gegevensbescherming is onjuist: juist die ‘competent authorities‘ kunnen in Nederland eenvoudig aan alle informatie komen. Als er een verbod op gegevensuitwisseling is, heeft dat niets met privacy en gegevensbescherming, maar alles met principes van de Nederlandse rechtsstaat.

Het ontbreekt mij aan tijd om me te verdiepen in de kwaliteit van de activiteiten van de FATF, maar ik kan mij niet aan de indruk onttrekken dat het FATF aan kennis ontbreekt. (Zo kwam ik destijds in het landenrapport van FATF over Nederland ook vreemde dingen tegen.)

One-size-fits-all is niet alleen slecht als het gaat om de eisen die aan de verschillende soorten Wwft-plichtigen worden gesteld.
Het is eveneens onzorgvuldig om one-size-fits-all op landen toe te passen.
Nog slechter is het als de werkelijke oorzaken niet worden benoemd, zoals te weinig capaciteit bij overheidsinstanties en onderlinge tegenwerking tussen landen.

Noten

[noot 1] In Nederland is het met witwas- en terrorismebestrijding begonnen met de Wet identificatie bij dienstverlening (Wid) en Wet melding ongebruikelijke transacties (Wet MOT), die op 1 februari 1994 in werking zijn getreden. Deze twee wetten golden oorspronkelijk alleen voor financiële instellingen, zoals banken. Met ingang van 1 juni 2003 zijn ook juridische en financiële dienstverleners (accountants, belastingadviseurs e.d.) en nog enige andere groepen ondernemers onder de werking van de Wid/Wet MOT gebracht. De Wid en de Wet MOT zijn samengevoegd tot de Wwft, die op 1 augustus 2008 in werking is getreden. De reikwijdte van de Wwft is een aantal keren uitgebreid, onder meer met domicilieverleners. Voorts wordt de wet regelmatig op andere punten aangepast.
[noot 2] http://www.fatf-gafi.org/publications/fatfgeneral/documents/plenary-outcomes-june-2016.html#transparency

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft | Tags: , , | Een reactie plaatsen

CPB: Meer onzekerheid door ICT | Vroegtijdig ingrijpen nodig | Marktordening bij nieuwe ICT-toepassingen

Al eerder schreef ik over de aanbevelingen van het Centraal Planbureau (CPB) op IT-gebied (cybersecurity). Inmiddels is er een nieuwe uiting van het CPB, een zgn. policy brief, onder de titel “Meer onzekerheid door ICT. Vroegtijdig ingrijpen nodig. Marktordening bij nieuwe ICT-toepassingen“.

In dat rapport schrijft het CPB dat overheden  in een vroeger stadium moeten reageren op ICT-ontwikkelingen in de markt.

Uit de intro:

Overheden moeten in een vroeger stadium reageren op ICT-ontwikkelingen in de markt zoals het internet der dingen, digitale platformen, robots en block-chain technologie. Nu wachten ze te vaak tot er meer duidelijk is over de nieuwe technologie of de ontwikkeling ervan in de markt. Op een later moment regels invoeren is echter vaak lastiger en kostbaarder. Dit staat in het onderzoek ‘Marktordening bij nieuwe ICT-toepassingen’ van het Centraal Planbureau dat zojuist is verschenen.

Geplaatst in ICT, privacy, e-commerce | Tags: , | Een reactie plaatsen

Autosleutel schandaal: waarom informeren de autofabrikanten het publiek niet?

Het regent berichten over digitale inbraken. En dan blijft er vast nog het nodige ‘onder de pet’. Één van de meest opmerkelijke berichten van de afgelopen week gaat over het hacken van de (digitale) autosleutels van onder meer Volkswagen.

Dat software in auto’s te hacken is, is al langer bekend. Het is niet zo mooi dat juist de digitale autosleutel kwetsbaar is.

Gisteren heb ik een beetje rondgekeken op het internet om te zien of getroffen fabrikanten zoals Volkswagen, Opel, Renault en Nissan hun publiek informeren. Maar ik zag er nog niets over. Het had makkelijk gekund, want de fabrikanten zijn vooraf geïnformeerd over het feit dat de kwetsbaarheid openbaar gemaakt zou gaan worden.

Vreemd. Je mag toch verwachten dat de automobilisten advies krijgen over hoe ze zich kunnen wapenen tegen wat in één van de Nederlandse kranten ‘autosleutelhackers’ wordt genoemd.

Meer informatie:

Geplaatst in Contractenrecht, privaatrecht algemeen, ICT, privacy, e-commerce | Een reactie plaatsen

Wetten maken voor de burger | rapport over onderzoek naar internetconsultaties

De Nederlandse rijksoverheid houdt met regelmaat internetconsultaties over voorgenomen wet- en regelgeving.
Soms lijkt het er op dat belanghebbenden bij allerlei belangrijke wetsvoorstellen niet de kans grijpen om aan de consultatie mee te doen. Zo miste ik bijvoorbeeld de Consumentenbond bij de consultatie over het voorstel om digitale communicatie met de overheid verplicht te stellen.

Een onderzoek naar het middel internetconsultatie in opdracht van het WODC, het wetenschappelijk onderoeksbureau van het ministerie van veiligheid, heeft geleid tot een rapport van 120 pagina’s dat is aangeboden aan het parlement. De adviseurs zijn van mening dat het beter kan en noemen de navolgende ‘verbeteringsrichtingen’, waarbij aan het slot ook ‘big data’ als een heilzaam middel wordt genoemd:

Bekendheid bevorderen
• Internetconsultatie is nog onvoldoende bekend en voor zover het bekend is, is dat slechts onder een beperkte groep mensen (hoogopgeleide ouderen). Gerichte publiciteit in publieke media en vakbladen kan een groter publiek bereiken.
• Afhankelijk van de doelen van een specifieke Internetconsultatie moeten passende strategieën worden gekozen om zo relevante doelgroepen op de Internetconsultatie te attenderen.
• Het bereiken van de doelgroepen is een eerste stap; het doel is echter om de participatie te bevorderen. Bekendheid is daartoe een eerste vereiste, motivatie een tweede. Ook aan die motivatie zou via media en via feedback in lopende consultaties gewerkt moeten worden.

Afwegingskader
• Ontwikkel een helder schematisch overzicht (flowchart of beslisboom) van het proces van afwegingen dat doorlopen moet worden om tot inzet van Internetconsultatie te besluiten, of er juist vanaf te zien.

Methodische aanpak
• Het proces van Internetconsultatie vraagt om een methodiek die aangeeft in welke gevallen welke aanpak van Internetconsultatie en stappen daarbinnen uitvoerbaar en zinvol zijn.
• Een methodiek als de bovengenoemde wordt niet vanzelf toegepast. Om dat te bewerkstelligen is een proces van professionalisering nodig van diegenen die een rol vervullen in de toepassing van Internetconsultaties.

Interactie
• Internetconsultatie kan een betere rol vervullen in het wetgevingsproces als de communicatie met burgers en organisaties integraal en planmatig wordt benaderd gedurende het hele proces van wet- en regelgeving.
• In gevallen van gevoelige beleidsterreinen of indien doelgroepen moeilijk bereikbaar of te motiveren zijn (jongeren, sociaal zwakkeren, mensen met een taalachterstand) kan ook de inzet van analyses van Big Data via social media, of anders- zins een oplossing bieden om ook diegenen te horen, die Internetconsultatie niet weten te vinden of te benutten.

Feedback
• Om duidelijk te maken dat waarde gehecht wordt aan inspraak via Internetconsultatie, om respectvol om te gaan met de insprekers, en “last but not least” om de deelname aan Internetconsultatie te stimuleren, is tijdige, heldere, concrete op de doelgroepen gerichte feedback in de vorm van een verslag, of een andere vorm essentieel. Zo´n terugkoppeling moet een standaard onderdeel van het proces zijn.

Benutten van technologische ontwikkelingen
In de toepassing van Big Data technieken zien de onderzoekers mogelijkheden om informatie en opvattingen te verzamelen onder en van groepen in de samenleving die met behulp van Internetconsultatie moeilijk te bereiken zijn (bijvoorbeeld jongeren en lager opgeleiden). Hoewel (nog) niet gerelateerd aan Internetconsultatie zijn in Nederland verschillende experimenten met het toepassen van Big Data technieken in gang gezet. Het is zeer de moeite waard om het proces en de resultaten van dergelijke initiatieven te volgen en te analyseren op de toepassingsmogelijkheden bij consultatie in het algemeen en Internetconsultatie in het bijzonder.

Wat ik hierbij mis:
het toekennen van prijzen aan de deelnemers aan internetconsultaties, dan wel een andere vorm van beloning (misschien een vorm van ‘liken’), zodat de consultatiedeelnemers kunnen pronken met hun gratis inzet voor land. Dat kan vast wel worden afgekeken van de social media.

Meer informatie:

Geplaatst in Bestuursrecht, Juridisch diversen | Tags: , | Een reactie plaatsen

AlertOnline | campagne over cybersecurity laat geen nieuwe initiatieven zien

AlertOnline voert in de periode van 3 tot en met 14 oktober aanstaande campagne over cybersecurity.

AlertOnline heeft een groot aantal ‘partners’ met aanzienlijke privacy en cybersecurity uitdagingen, zoals ziekenhuizen, verzekeraars en kabel/telecomondernemingen. Zo was er dit jaar al de nodige kritiek van de Autoriteit Persoonsgegevens op partijen uit zorg- en verzekeringssector, zie aan het slot van dit bericht. De partners van AlertOnline hebben dus het nodige aan het publiek uit te leggen!

Geen nieuwe initiatieven

Aan de website te zien ontbreken in de AlertOnline campagne nieuwe initiatieven op het gebied van privacy en security. Belangrijke Nederlandse organisaties zouden een statement kunnen maken door op privacy en security gebied vooruit te lopen, bijvoorbeeld door het ontwikkelen van gedragscodes en door verbetering van de techniek. Van dergelijke initiatieven is zo te zien geen sprake.

Zo lijkt het me logisch dat alle partners van AlertOnline (en ook alle andere Nederlandse organisaties en ondernemingen) zich gaan onthouden van faciliteren van tracking van hun website bezoekers.

Verder is het een grote verbetering als het primitieve systeem van inloggen met alleen inlognaam en wachtwoord wordt verlaten en als vertrouwelijke persoonsgegevens na inloggen op websites (als van medische ondernemingen en verzekeraars) niet meer zonder extra beveiliging kunnen worden ingezien.

In de toekomst gaat bij de keuze van leveranciers een issue worden of de leverancier de privacy en security op orde heeft. Dat betekent goede security- en privacynormen, passende gedragscodes en onafhankelijke toetsing van de systemen door IT-auditors, deelname aan certificering en transparantie over hoe gegevens worden verwerkt. Ook daar over zag ik zo op het eerste gezicht niets, terwijl het toch heel belangrijk is.

Veilig internetten: niets over e-mail onveiligheid

Over de inhoudelijke kant van cybersecurity is op de site van AlertOnline niets te vinden. Daarvoor wordt verwezen naar Veilig Internetten, een site met rubrieken particulier en zakelijk. Opvallend is dat op deze site informatie over de onveiligheid van e-mail geheel ontbreekt, terwijl bij iedereen met securitykennis bekend is dat e-mail volstrekt ongeschikt is voor het versturen van vertrouwelijke gegevens.

Tot slot

Het is mooi dat er aandacht is voor cybersecurity, maar kan nog veel beter.

Meer informatie:

Autoriteit Persoonsgegevens over de zorg

AlertOnline heeft een groot aantal partners uit de zorg en de verzekeringssector. Deze sector heeft dit jaar al de nodige opmerkingen van de Autoriteit Persoonsgegevens gekregen:

Geplaatst in ICT, privacy, e-commerce | Tags: , , , , | Een reactie plaatsen

Is de overheid de grootste cybersecurity bedreiging voor de burger? [2]

Als eerder schreef ik “Is de overheid de grootste cybersecurity bedreiging voor de burger?“. Degenen die dat een interessant onderwerp vinden, raad ik aan het artikel te lezen van Maurits Martijn en Dimitri Tokmetzis van 19 juli jl. voor De Correspondent, “Deze wetenschappers luiden de noodklok: Big Data heeft een tegenmacht nodig“.

Intro:

De overheid gaat erbarmelijk om met de privégegevens van Nederlanders, concludeerde de Wetenschappelijke Raad voor het Regeringsbeleid al in 2011 in een schokkend rapport. Twee auteurs van dat rapport stellen nu vast: niet alleen begrijpen politici de privacygevaren niet, ze maken ze alleen maar groter.

In het artikel komen Dennis Broeders en Corien Prins aan het woord, beiden experts op het gebied van IT-gebruik door de overheid.

Ondanks deze tegengeluiden dendert de big data machine verder. Voorbeelden:

Geplaatst in ICT, privacy, e-commerce, Strafrecht | Tags: , , , , , , | Een reactie plaatsen

Domme IT

Vandaag heb ik iemand opgebeld en zijn voicemail ingesproken.
Later krijg ik een voicebericht terug  met de tekst “Uw bericht aan … verzonden vandaag om … uur kon niet worden afgeleverd. Redencode 422 het bericht is niet afgeleverd omdat de mailbox van de ontvanger vol is.

Dat is dus domme IT.

Slimme IT: direct als je probeert een voicemail in te spreken krijg je het bericht “De voicemailbox van de ontvanger is vol, probeer het op een andere manier.
Kennelijk is het nog steeds moeilijk om slimme IT te maken.


PS 1 Waarom je als je een bericht afluistert met een ‘redencode’ moet worden lastig gevallen, is mij een raadsel.

PS 2 Begin van kafka?

Geplaatst in ICT, privacy, e-commerce | Een reactie plaatsen

Consultatie wijziging wet tegen witwassen en terrorismefinancieren nog tot en met 16 augustus

Er is niemand te vinden die tegen witwasbestrijding of bestrijding van terrorismefinanciering is.
Maar of Nederland en Europa wel slimme regelgeving op dat gebied hebben, is een vraag. Die vraag wordt maar door weinigen gesteld. De compliance industrie stelt er geen vragen over, want zij willen graag hun ‘oplossingen’ verkopen, zoals ub0-informatie.

Europa, onder leiding van de Financial Action Task Force (FATF), een politiek orgaan waarop geen enkele controle wordt uitgeoefend, is druk bezig om de juridische mandarijnenwetenschap rondom witwas- en terrorismefinancieringsbestrijding verder uit te breiden. Als gevolg daarvan komt er een Vierde Antiwitwasrichtlijn (‘AMLD4’) aan, die in 2017 in alle Europese landen geïmplementeerd moet zijn.

Deze maand kunnen belangstellende burgers over die implementatie nog een klein beetje mee praten, want tot 16 augustus aanstaande kan nog worden meegedaan aan de consultatie Implementatiewet vierde anti-witwasrichtlijn.

Maak er gebruik van en stel de nodige vragen, zoals:

  1. Op welke punten wijkt de huidige Nederlandse antiwitwaswet (Wet ter voorkoming van witwassen en financieren van terrorisme, ‘Wwft’) af van de huidige Europese richtlijnen.
  2. Is onderzoek gedaan naar de bekendheid van Wwft-plichtige ondernemingen met de huidige Wwft en is er onderzoek gedaan naar de vraag of de Wwft wel uitvoerbaar is voor Wwft-plichtige ondernemingen?
  3. Het voorstel heeft tot gevolg dat de Wwft voor een groot deel wordt herschreven. Kan worden aangegeven op welke punten een wijziging ten opzichte van de huidige Wwft wordt beoogd en waar een wijziging het gevolg is van AMLD4.
  4. Kan exact worden aangegeven op welke punten het consultatievoorstel verder gaat dan AMLD4.
  5. Gesteld dat er op basis van AMLD4 nog steeds grote verschillen per EU-land zullen zijn met betrekking tot de wijze waarop een en ander is geregeld: is wel gewenst dat de regelgeving binnen de EU zo uiteenloopt?
  6. Onlangs is voorgesteld om AMLD4 verder te wijzigen. Waarom wordt deze consultatie niet ingetrokken en een nieuwe consultatie gestart op basis van de gewijzigde AMLD4.

Meer informatie:

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft | Tags: , , , | Een reactie plaatsen

Nietmeeropeenrijtje.nl? | ondoordachte portal in de financiële sector

Een beetje laat, want het artikel verscheen eind juni, attendeer ik de lezers van dit blog op het artikel “Nietmeeropeenrijtje.nl?“, dat Arthur Goes schreef voor Amweb. Het gaat over een ondoordachte consumenten portal op het gebied van verzekeringen, die de deelnemers (gevolmachtigden in de verzekeringssector) veel geld kost. Het voorval laat zien dat er veel onhandige apps en portals op het web worden geslingerd. Lees het artikel.

NB Overigens heeft Amweb hinderlijke bewegende beelden op z’n site.

Geplaatst in Financieel recht, onder meer Wft, Wtt | Tags: , | Een reactie plaatsen

Wondere wereld van de tech | battery-ID tracking

Het is wonderbaarlijk wat er technisch allemaal kan en dus ook gebeurt.
In een artikel op Webwereld stond dat iedereen kan worden gevolgd via de unieke identiteitskenmerken (‘vingerafdruk’) van de batterij in de smartphone, ook degenen die privacy / security apps gebruiken of surfen via VPN. Dit is mogelijk omdat de Battery Status API gebruikt kan worden zonder permissies. Lees verder in “Accu smartphone gebruikt om je te volgen“, Webwereld.

Geplaatst in ICT, privacy, e-commerce | Tags: | Een reactie plaatsen