In een reeks korte artikelen maakt Privacy First inzichtelijk bij welke gegevens instanties nu al kunnen en wat er nog meer op stapel staat. Deel 4 van deze reeks gaat over het bestrijden van witwassen: veel goede bedoelingen om witwassen op te sporen hebben inmiddels geleid tot het permanent monitoren van iedereen die een bankrekening heeft.
Het opsporen van witwassen lijkt primair een taak van politie en Openbaar Ministerie, maar niets is minder waar. Bij het detecteren van mogelijk witwassen heeft de wetgever een doorslaggevende rol toegekend aan zogenaamde ‘poortwachters’; dit zijn banken en andere ondernemingen die een rol spelen in het financiële verkeer. Banken zijn verplicht de identiteit en de herkomst van het vermogen van hun klanten rigoureus te checken en álle transacties van hun klanten te monitoren. Die monitoring is nodig, omdat de banken in staat worden geacht crimineel geld te kunnen detecteren en ‘ongebruikelijke’ transacties moeten melden bij de Financial Intelligence Unit (FIU), een zelfstandig onderdeel van de politie.
Voor een beperkt aantal gevallen bepalen de regels wat ‘ongebruikelijk’ is, maar voor het overgrote deel wordt het aan de banken overgelaten te bepalen of een transactie ongebruikelijk is.
Zij moeten hiervoor processen inrichten, waarvoor zij kunnen putten uit een keur van vermeende good practices en andere overheidspublicaties.
Nadat de banken een ongebruikelijke transactie hebben gemeld, bepaalt de FIU of een transactie ‘verdacht’ is. Hierna zullen echte opsporingsautoriteiten met de verdachte betaling mogelijk aan de slag gaan.
Het hierboven beschreven systeem in combinatie met de afschrikwekkende boetes en reputatieschade voor banken heeft er inmiddels toe geleid, dat de banken alle transacties van hun klanten intensief monitoren. Iedere bankrekeninghouder wordt in feite dagelijks digitaal gefouilleerd om te bezien of hij geen overtreding heeft begaan.
Steeds meer komt naar buiten, dat dit controleren van de betalingen en ontvangsten van klanten ver strekt en regelmatig misgaat.
Onduidelijk is of de banken zelf doorschieten in hoe zij opvolging geven aan hun poortwachtersfunctie of dat de toezichthouders en opsporingsautoriteiten de banken onder druk zetten om minutieus al hun klanten te volgen. Wel is duidelijk dat er een permanent surveillance systeem is opgetuigd, waarbij financiële instellingen taken verrichten die opsporingsautoriteiten niet zelf zomaar mogen uitvoeren; voordat de politie inzage kan vorderen in de betaalgegevens van een bankrekeninghouder zal toch minstens sprake moeten zijn van een redelijke verdenking, dat sprake is van enige overtreding.
De Minister van Justitie heeft onlangs bevestigd dat uit gehackte berichten blijkt dat criminelen hun geld niet via het normale bancaire systeem laten lopen, maar via ondergronds bankieren het land uit krijgen en in het buitenland uitgeven.
Alles bij de bron; PrivacyFirst
De Brand New Day (BND) Bank mocht transacties van een klant onderzoeken en hem daarop aanspreken, zo heeft het financiële klachteninstituut Kifid geoordeeld. Ook heeft BND niet de AVG overtreden, zo laat het Kifid verder weten. De klant die bij het klachteninstituut een klacht indiende heeft sinds juli 2021 een spaarrekening bij BND. Eind 2022 werd door een kleine veertig personen een bedrag van in totaal 620 euro overgemaakt. Het ging om bedragen van tussen de vijfiten en twintig euro per persoon.
Vervolgens vroeg BND de klant om opheldering over de relatie die hij met deze personen had en wat het doel van de stortingen was. ...
...De klant stelt dat BND ten onrechte een cliëntenonderzoek naar hem heeft uitgevoerd. Het afwijken van transacties ten opzichte van het doel en de aard van de dienstverlening op een spaarrekening bij BND is geen geldige reden om de transacties te onderwerpen aan een cliëntenonderzoek, zo stelde hij. Tevens stelde de klant dat BND de resultaten van het cliëntenonderzoek onrechtmatig gebruikt voor andere doelstellingen dan vermeld in de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). Ook vindt hij dat BND in strijd met de AVG heeft gehandeld.
Volgens de klant heeft BND onrechtmatig gehandeld en hij wil dan ook excuses van BND. Tevens vordert hij dat BND stopt met soortgelijk onrechtmatig handelen richting andere klanten. Verder had de klant gevorderd dat het Kifid de zaak voorlegt aan de Autoriteit Persoonsgegevens en de reactie van de privacytoezichthouder meeneemt in de beoordeling.
Voor het cliëntenonderzoek geldt dat de wet niet voorschrijft hoe het onderzoek moet worden uitgevoerd, maar tot welk resultaat het onderzoek moet leiden, aldus het Kifid. Dat stelt dat niet is gebleken dat BND in strijd met haar beleidsvrijheid heeft gehandeld.Het onderzoek was dan ook niet onterecht, zo concludeert het klachteninstituut dat de klacht van de klant ongegrond verklaart.
Wat betreft het verzoek om de zaak aan de AP voor te leggen is dit volgens het Kifid niet aan het klachteninstituut. Het verzoek is dan ook niet uitgevoerd.
Alles bij de bron; Security
Verschillende commissies in het Europees Parlement hebben gestemd voor een Europees verbod op anonieme commerciële contante betalingen vanaf 3.000 euro. Daarnaast worden ook zakelijke transacties vanaf 10.000 euro verboden, alsmede anonieme cryptotransacties naar gehoste wallets.
Volgens de commissies zijn de maatregelen nodig om witwassen en financiering van terrorisme tegen te gaan (pdf).
"Deze EU-oorlog tegen contant geld zal vervelende gevolgen hebben!", waarschuwt Patrick Breyer, Europarlementariër voor de Piratenpartij. "Samenlevingen over de hele wereld hebben duizenden jaren geleefd met privacybeschermend contant geld. Met de sluipende afschaffing van cash bestaat er een risico van negatieve rentetarieven en het risico dat banken op elk moment de geldvoorziening kunnen afsluiten. De afhankelijkheid van banken neemt in een alarmerend tempo toe. Deze financiële ontzegging van rechten moet worden gestopt."
De Europarlementariër wijst naar onderzoek waaruit blijkt dat nog steeds zeer veel mensen contante betalingen van meer dan tienduizend euro doen, bijvoorbeeld als ze een auto aanschaffen.
Daarnaast zou het verbod op grote cashbetalingen een minimaal effect op het verminderen van misdaad hebben. Breyer vreest dan ook een aantasting van de financiële vrijheid van Europese burgers. Het voorstel moet nog door het Europees Parlement en de Raad worden aangenomen.
Alles bij de bron; Security
Banken mogen rekeningen van klanten niet zonder duidelijk opgaaf van redenen blokkeren, zo stelt demissionair minister van Financiën. Hij reageerde op Kamervragen van de ChristenUnie over signalen dat bankrekeningen van jongeren steeds vaker worden geblokkeerd wegens de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft).
Volgens de demissionair minister worden rekeningen van jongeren vaak in het geval van fraude geblokkeerd. "In het kader van fraude zijn mij signalen bekend dat jongeren vaker misbruikt worden als geldezel, en dat daardoor de betaalrekening kan worden geblokkeerd."
Hij voegt toe dat het vaak personen in een kwetsbare situatie zijn die als katvanger worden misbruikt. Op dit moment vinden er drie pilots plaats met de aanpak van katvangers. De resultaten van daarvan worden dit jaar verwacht. Aan de hand van de resultaten zal de aanpak ook verder in Nederland worden ingezet.
De bewindsman gaf ook aan het belangrijk te vinden om een beter beeld te krijgen van het aantal burgers van wie een betaalrekening is geblokkeerd, geweigerd of opgezegd en met welke redenen. "Ik zal daarom de NVB vragen om cijfers en de redenen van blokkade beter bij te houden."
Alles bij de bron; Security
Deel 3 van deze reeks gaat over de Wet Gegevensverwerking door Samenwerkingsverbanden (WGS): dit is een vergevorderd wetsvoorstel om uw bankgegevens structureel te delen tussen een keur van overheidsinstanties en private bedrijven.
Het voorstel voor de Wet Gegevensverwerking door Samenwerkingsverbanden (WGS) zal het mogelijk maken dat overheid en bedrijfsleven structureel data gaan delen in zogenaamde samenwerkingsverbanden om verschillende vormen van criminaliteit en overtredingen te bestrijden.
Een viertal van dit soort samenwerkingsverbanden bestaat al, terwijl de WGS er nog niet eens is. De wet wil deze bestaande samenwerkingen alsnog van een wettelijke basis voorzien, maar ook verdergaande samenwerking mogelijk maken en deelname hierin zelfs verplichten voor private partijen.
Op dit moment bestaan er al twee samenwerkingsverbanden waarin uw bankgegevens en andere financiële gegevens tussen deelnemende partijen kunnen worden gedeeld. Het belangrijkste samenwerkingsverband is het Financieel Expertise Centrum (FEC), maar bankgegevens kunnen ook worden gedeeld in de Infobox Crimineel en Onverklaarbaar Vermogen (iCOV).
In het FEC en het iCOV werken instanties als de politie, OM, FIU-NL, FIOD en de Belastingdienst samen met als doel financieel-economische criminaliteit tegen te gaan en crimineel en ‘onverklaarbaar’ vermogen te traceren. Ook de financiële toezichthouders, De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM), zijn bij het FEC en het iCOV betrokken. Het bijzondere van het FEC is, dat banken hierin deelnemen samen met deze overheidsinstanties. De gegevensuitwisseling vindt momenteel plaats op basis van onderling afgesloten convenanten.
De deelnemers in het FEC en het iCOV beschikken samen over talloze financiële gegevens van burgers en bedrijven en kunnen deze gegevens delen voor zeer breed geformuleerde doelen. Wat er exact gebeurt binnen deze gremia en hoe strikt men omgaat met rechten van burgers van wie de data gedeeld worden, is onduidelijk: het FEC en iCOV zijn feitelijk black boxen.
Het FEC en het iCOV publiceren jaarverslagen, maar op basis hiervan valt weinig tastbaars te concluderen over hun effectiviteit. Zorgen over die effectiviteit zijn er wel: de Algemene Rekenkamer karakteriseerde het overheidsbeleid om zoveel mogelijk crimineel verworven vermogen af te pakken en waarin het iCOV een belangrijke rol speelt, in 2022 als ‘veel gezaaid en beperkt geoogst.’
De WGS maakt het mogelijk dat nog meer samenwerkingsverbanden als het FEC en iCOV gecreëerd worden én maakt de mogelijkheden van data delen veel groter en structureler. De WGS staat het toe bankgegevens te combineren met allerlei andere soorten data voor opsporingsdoeleinden. De gegevensdeling beperkt zich niet tot feiten, maar omvat ook het delen van ‘signalen’, vermoedens en zwarte lijsten.
Onder de WGS kunnen allerlei soorten private partijen verplicht worden om gegevens te delen met de overheid.
Gebruik van en het combineren van alle denkbare data wordt mogelijk: identificatiegegevens van personen en hun financiële data, vermogensgegevens, gegevens over relaties tussen personen en vermogensbestanddelen, informatie over eerdere onrechtmatigheden, over relaties of contactpersonen, politiegegevens, justitiële en strafvorderlijke gegevens, etc. etc.
De samenwerkingsverbanden moeten een periodieke privacy-audit laten uitvoeren en jaarverslagen opstellen, waarin zij rapporteren over de bruikbaarheid van de resultaten. De uitkomsten van de privacy-audits zijn alleen niet openbaar. De wet specificeert ook niet wanneer samenwerkingsverbanden als effectief kunnen worden beschouwd.
De WGS is momenteel in behandeling in de Eerste Kamer. De SyRI-coalitie, de maatschappelijke coalitie die begin 2020 de rechtszaak tegen het Systeem Risico Indicatie (SyRI) won heeft de Eerste Kamer al herhaaldelijk met klem gevraagd het wetsvoorstel WGS niet aan te nemen. Privacy First hoopt dat de Eerste Kamer nu doorpakt en het wetsvoorstel verwerpt.
Alles bij de bron; PrivacyFirst
Tienduizend Nederlanders zijn vorig jaar slachtoffer geworden van bankhelpdeskfraude en werden daarbij voor ruim 28 miljoen euro opgelicht.
In 2023 werd de schade door bankhelpdeskfraude in 31 procent van de gevallen niet vergoed.
Banken vinden dat criminelen online nog veel te gemakkelijk anoniem kunnen opereren of zich voordoen als iemand anders. "Zo is het nu nog veel te makkelijk voor online criminelen om anoniem te blijven of zich voor te doen als iemand anders. Het zou daarom goed zijn als aanbieders van onlinedienstverlening en bijvoorbeeld prepaid simkaarten worden verplicht om de identiteit van hun klanten te checken."
Daarnaast willen de banken dat het eenvoudiger moet worden om gegevens te delen.
Alles bij de bron; Security
Nederlanders met een niet-westerse migratieachtergrond worden vaker door hun bank gecontroleerd op mogelijk verdachte transacties dan autochtone landgenoten. Dat zegt Medy van der Laan, voorzitter van de Nederlandse Vereniging van Banken (NVB).
Dit volgt volgens haar uit de anti-witwaswet waar banken zich aan moeten houden, de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft).
Mensen met een niet-westerse migratieachtergrond hebben vaker een band met zo’n hoog-risicoland, zegt Van der Laan, bijvoorbeeld omdat zij er nog familie hebben wonen.
Banken gaan zelf niet over welke landen op de lijsten staan. Die worden samengesteld door de Europese Commissie en de intergouvermentele Financial Action Task Force.
Nationaal Coördinator Discriminatie en Racisme Rabin Baldewsingh spreekt in een reactie toch van discriminatie. Hij zegt dat ‘iets ook discriminatie kan zijn als het niet zo bedoeld is, maar wel zo uitwerkt.’ Wel is hij het met de banken eens dat dit voor een deel aan de Wwft ligt. “Die pakt nadelig uit voor moslims en mensen die banden hebben met moslimlanden.”
Baldewsingh sprak zich een jaar geleden ook uit tegen discriminatie van moslims door hun bank. Destijds zei hij dat moslims zich soms moeten verantwoorden voor kleine donaties tijdens de ramadan, of zelfs voor het online bestellen van een islamitisch boek. Dat soort klachten krijgt hij nog steeds. “En niet alleen als het gaat om transacties met landen op de hoogrisicolijsten, ook voor kleine bedragen binnen Nederland”, zegt hij.
Alles bij de bron; Trouw [abonnee artikel, scan ontvangen van een lezer]
Deel 2 van deze reeks gaat over CESOP: een database om btw-fraude via uw betaalgegevens op te sporen.
CESOP: het ‘Central Electronic System of Payment information’ is een centrale Europese database, die het overheidsdiensten in Europa gemakkelijker moet maken om btw-fraude op te sporen via informatie-uitwisseling tussen belastingdiensten en banken.
Sinds dit jaar moeten alle banken en andere betaaldienstverleners in Europa informatie over hun rekeninghouders aan de fiscale autoriteiten doorgeven, als die rekeninghouders meer dan 25 internationale betalingen per kwartaal ontvangen. De banken geven deze informatie door aan de belastingdienst van het land waar de ontvanger van de betaling gevestigd of woonachtig is. De nationale belastingdienst geeft de ontvangen gegevens weer door aan CESOP, zodat fraude-experts die data kunnen gebruiken en vergelijken met andere gegevens voor het bestrijden van btw-fraude.
De gegevens kunnen ook gebruikt worden voor onderzoek naar andere heffingen en belastingen. De regels gelden voor alle Europese banken en betaaldienstverleners, zodat CESOP een omvangrijke database is met de gegevens van miljarden betalingen.
De regels bepalen dat een betaling ‘grensoverschrijdend’ is als degene aan wie betaald wordt, woonachtig of gevestigd is in het buitenland. Het gevolg is bijvoorbeeld dat iedere rekeninghouder die weleens een product koopt bij de webwinkel van een buitenlands bedrijf van enige omvang – óók als dat bedrijf gebruik maakt van een Nederlands bankrekeningnummer – binnen de reikwijdte van CESOP komt.
Zo wordt iedere rekeninghouder in Nederland die iets koopt bij Alibaba of Amazon geraakt door CESOP. Hetzelfde geldt voor iedere rekeninghouder in Nederland, die een kopje koffie afrekent op het station in Antwerpen of Brussel. Alibaba, Amazon of de koffiekiosken in Antwerpen en Brussel hebben immers gemeen, dat zij meer dan 25 betalingen per kwartaal van rekeninghouders uit het buitenland zullen ontvangen.
CESOP is weer een voorbeeld van hoe de overheid bankrekeningen en betaalgegevens gebruikt als centraal element bij de controle- en opsporingstaken voor breed omschreven doelen. Burgers kunnen niet zonder bankrekening, maar hebben geen idee dat de overheid via vele kanalen toegang tot hun rekening heeft. Het brede gebruik van bankgegevens door de overheid is zeer zorgelijk en roept de vraag op of de overheid de grondrechten van burgers serieus neemt.
Alles bij de bron; PrivacyFirst
Consumenten kunnen vanaf april als optie iDEAL-profielen aanmaken om te gebruiken bij webwinkels.
In dit profiel staat bijvoorbeeld het adres van de klant en de voorkeursbankrekening, zodat bestellingen sneller kunnen verlopen. De organisatie achter iDEAL noemt geen precieze datum voor de introductie van de profielen, alleen dat het aanmaken en gebruiken in april mogelijk moet zijn.
De profielen zouden volgens iDEAL goed zijn voor de privacy van klanten, omdat de gegevens centraal en 'met een hoge privacystandaard' worden opgeslagen. Naast de profielen hoeven gebruikers in de nieuwe iDEAL-versie niet langer te navigeren naar de site of app van hun bank om een bestelling af te ronden, maar kan dit via iDEAL zelf.
Alles bij de bron; Tweakers
De Autoriteit Persoonsgegevens (AP) heeft creditcardmaatschappij ICS een boete van 150.000 euro opgelegd wegens het overtreden van de AVG bij de digitale identificatie van klanten.
ICS begon in 2019 met het digitaal identificeren van zo'n 1,5 miljoen klanten in Nederland. Bij de identificatie werd gevoelige informatie gebruikt. Behalve om bijvoorbeeld naam, adres, telefoonnummer en e-mail van klanten, ging het onder meer om een foto die klanten van zichzelf moesten maken en opsturen via een mobiele telefoon of webcam. ICS gebruikte deze foto’s vervolgens om ze te vergelijken met de kopieën van de identiteitsbewijzen van klanten.
Financiële instellingen zijn wettelijk verplicht om de identiteit van hun klanten vast te stellen en mogen daarvoor zulke informatie gebruiken. "Maar ze moeten wel uiterst zorgvuldig met de informatie omgaan", aldus de AP. Dat houdt bijvoorbeeld in dat een DPIA verplicht is. ICS heeft nagelaten om een DPIA uit te voeren voordat het met de identificatie begon, waarmee de creditcardmaatschappij de Algemene verordening gegevensbescherming (AVG) heeft overtreden.
"Organisaties zijn niet voor niets wettelijk verplicht om van tevoren al te kijken welke risico’s jij loopt als ze jouw gegevens gaan gebruiken. Want als gegevens van jou – zoals een kopie van je paspoort – in verkeerde handen vallen, kun je bijvoorbeeld het slachtoffer worden van identiteitsfraude. Iemand kan dan op jouw naam online spullen kopen zonder zelf te betalen", zegt AP-bestuurslid Katja Mur. ICS kan nog bezwaar maken tegen de boete.
Alles bij de bron; Security