Toon items op tag: Europese Unie

Het Hof van Justitie van de EU heeft op 22 november 2022 een dikke streep gezet door de openbare toegankelijkheid van het UBO-register. De toegang van het grote publiek tot informatie over uiteindelijk begunstigden van vennootschappen en andere rechtspersonen is een ernstige aantasting van de privacy. In een principiële uitspraak leggen de 15 rechters van de Grote Kamer van het Europese Hof uit dat de strijd tegen witwassen van geld en terrorismefinanciering in de eerste plaats een zaak is van de overheid. De bestrijding van witwassen rechtvaardigt niet dat een register met privacygevoelige gegevens voor iedereen openbaar is, aldus de hoogste Europese rechter. De gehele tekst van deze ‘landmark decision’ vindt u hier.

Privacy First is zeer verheugd over deze kritische en principiële uitspraak van het Hof van Justitie. Hiermee is een inhoudelijk oordeel gegeven over de vragen die Privacy First eerder over het UBO-register aanhangig maakte.

Begin 2021 heeft Privacy First een kort geding over het UBO-register aangespannen, met als inzet dat de Nederlandse rechter de zaak aan het Hof van Justitie van de EU zou voorleggen. Dat wilde de Nederlandse rechter niet doen omdat er op dat moment net een vergelijkbare Luxemburgse zaak aan het Hof van Justitie was voorgelegd. De voorzieningenrechter bevestigde daarbij wel al dat er alle aanleiding is om te twijfelen aan de rechtsgeldigheid van de Europese witwasrichtlijnen die de grondslag vormen voor het UBO-register. De rechter oordeelde dat niet valt uit te sluiten dat de hoogste Europese rechter tot de conclusie zou komen dat het openbare karakter van het UBO-register zich niet verhoudt met het evenredigheidsbeginsel. In hoger beroep werd dit oordeel bevestigd.

De advocaat van Privacy First, Otto Volgenant van Boekx Advocaten, zei hier indertijd al over: ‘Door het UBO-register komen privacygevoelige gegevens van miljoenen mensen op straat te liggen. Van alle kanten wordt betwijfeld of dat wel een effectief middel is in de strijd tegen witwassen en terrorisme. Het is met een kanon op een mug schieten. De hoogste Europese rechter, het Hof van Justitie van de EU, zal hier uiteindelijk over oordelen. Ik verwacht dat die een streep door het UBO-register zet.’

Op 22 november 2022 is dat dus inderdaad gebeurd. De openbaarheid van het UBO-register is van de baan. De belangrijkste overwegingen van de uitspraak van het Hof van Justitie van de EU kunnen als volgt worden samengevat:

het beschikbaar stellen van UBO-gegevens aan het algemene publiek is een ernstige inmenging in de privacy van UBO’s. Op basis van de informatie uit het UBO-register kan een profiel worden gemaakt met bepaalde persoonlijke identificatiegegevens, de financiële situatie van de betrokkene en de economische sectoren, landen en specifieke ondernemingen waarin hij heeft geïnvesteerd. Een vrij toegankelijk UBO-register maakt deze gegevens beschikbaar voor een onbeperkt aantal personen, ook voor wie het wil inzien om redenen die geen verband hoeven houden met de anti-witwasregels. Deze UBO-gegevens zijn niet alleen voor eenieder vrij raadpleegbaar, maar kunnen daarna door derden worden opgeslagen en verder verspreid, waarbij het voor de UBO steeds moeilijker of zelfs illusoir wordt om zich te verdedigen tegen misbruik.

Het bestrijden van witwassen en de financiering van terrorisme is een doelstelling van algemeen belang die de privacy-inbreuk die ontstaat met een UBO-register kan rechtvaardigen, maar dit betekent niet zonder meer dat iedereen toegang tot dat register moet hebben.

Het Hof legt uit dat in dit kader de volgende drie punten moeten worden beoordeeld:
1. Is de publieke toegankelijkheid van het UBO-register een geschikt middel in de strijd tegen witwassen?
2. Voldoet de inbreuk op de privacy van de UBO’s door toegang voor iedereen aan de eis van subsidiariteit en beperkt blijft tot het strikt noodzakelijke, met andere woorden: kan de strijd tegen witwassen niet redelijkerwijs even doeltreffend worden gevoerd op een andere wijze, die de grondrechten van de betrokkenen minder aantast?
3. Is de privacy-inbreuk die het gevolg is van volledige openbaarheid van het UBO-register evenredig en proportioneel, bij afweging van enerzijds het belang van witwasbestrijding en anderzijds de ernst van de privacy-inbreuk?

Aan de eerste vraag besteedt het Hof van Justitie weinig woorden: een publiek toegankelijk UBO-register kán door de daaruit voortvloeiende transparantie bijdragen aan een omgeving die minder makkelijk voor witwassen kan worden gebruikt. Maar op de andere twee punten voldoet de openbaarheid van het UBO-register niet aan de daaraan te stellen eisen.

Het antwoord van het Hof van Justitie op de tweede vraag is dat de privacyschending die het gevolg is van volledige openbaarheid van het UBO-register niet strikt noodzakelijk is. In een vorige versie van de anti-witwasregelgeving stond dat ‘personen of organisaties die een legitiem belang kunnen aantonen’ toegang hadden tot het UBO-register. Het Hof van Justitie benoemt nu als groepen die zo’n legitiem belang kunnen hebben:
a. de pers en maatschappelijke organisaties die zich bezig houden met de voorkoming en bestrijding van het witwassen van geld en terrorismefinanciering;
b. personen die de identiteit van een UBO willen kennen in het kader van een mogelijke transactie; en
c. financiële instellingen en autoriteiten die betrokken zijn bij de strijd tegen witwassen en terrorismefinanciering.

De Europese Commissie heeft eerder aangegeven dat het moeilijk is om een juridische definitie te geven van het begrip ‘legitiem belang’. Dat vindt de rechter te kort door de bocht: dat het moeilijk is om dat begrip af te bakenen, rechtvaardigt nog niet om dan maar aan iedereen toegang te geven. En dus sneuvelt de openbaarheid van het UBO-register, omdat de privacy-inbreuk voor de UBO’s niet beperkt blijft tot wat strikt noodzakelijk is.

Ook in het antwoord op de derde vraag, naar de evenredigheid van de privacy-inbreuk ten opzichte van het belang van anti-witwasdoelstellingen, laat het Hof van Justitie de privacy prevaleren. De strijd tegen witwassen en terrorismefinanciering is primair een taak van de overheid en financiële instellingen. Die hadden eerder ook al volledige toegang tot het UBO-register. De uitbreiding van de toegang tot het UBO-register tot het volledige publiek leidt tot een aanzienlijk zwaardere aantasting van de privacy, zonder dat dit wordt gecompenseerd door voordelen in de strijd tegen witwassen en terrorismefinanciering.

Voor Nederland betekent dit dat het UBO-register per direct niet meer openbaar toegankelijk mag zijn. Privacy First heeft direct na deze uitspraak de Minister van Financiën opgeroepen om dat zo spoedig mogelijk in orde te maken. Nog op de dag van de uitspraak is gehoor gegeven aan deze oproep en is de openbare toegankelijkheid van het UBO-register afgesloten. Een grote overwinning voor de privacy. Het doel van de rechtszaak die Privacy First in 2021 begon is hiermee bereikt. Het UBO-register is niet langer openbaar toegankelijk. Bij gebreke hieraan zal Privacy First een nieuw kort geding starten om de uitspraak van het EU Hof te handhaven.  

Er zal mogelijk een discussie komen over de afbakening van de groep personen die op basis van een ‘legitiem belang’ toegang hebben tot het UBO-register. Die discussie kan het best op het niveau van de EU worden gevoerd, omdat de anti-witwasregelgeving ook EU-regelgeving is. Daarbij zal dan ook de European Data Protection Supervisor zich inhoudelijk kunnen bemoeien. Deze onafhankelijke toezichthouder adviseerde al in 2017 dat openbare toegankelijkheid van het UBO-register niet proportioneel zou zijn.

De Europese wetgever heeft zich indertijd helaas niets van dat advies aangetrokken. Het komt helaas vaker voor dat de Europese wetgever regels opstelt die een forse inbreuk op de privacy maken, en dat de hoogste Europese rechter jaren later oordeelt dat die regels een te grove schending zijn. Het is goed dat de rechter kritisch is en het belang van privacy zwaar laat wegen. De rechter heeft in een democratische rechtsstaat immers het laatste woord, en de Grote Kamer van het Hof van Justitie van de EU heeft de afgelopen jaren keer op keer in het voordeel van de privacy geoordeeld. Maar het zou nog beter zijn als de regelgever zelf het belang van privacybescherming op waarde schat. Dan zouden veel privacyschendingen door de overheid kunnen worden voorkomen.

Op maandag 27 september 2021 is de zitting bij het Gerechtshof Den Haag in de procedure van Privacy First tegen het UBO-register.

Stichting Privacy First is in hoger beroep gegaan van het vonnis van de kort geding-rechter van 18 maart 2021. De kort geding-rechter bevestigde dat er alle aanleiding is om te twijfelen aan de rechtsgeldigheid van de Europese witwasrichtlijnen die de grondslag vormen voor het UBO-register. De rechter volgt op dit punt het zeer kritische advies van de Europese privacy-toezichthouder EDPS (European Data Protection Supervisor). De Nederlandse kort geding-rechter oordeelde dat niet valt uit te sluiten dat de hoogste Europese rechter, het Hof van Justitie van de EU, tot de conclusie zal komen dat het openbare karakter van het UBO-register zich niet verhoudt met het evenredigheidsbeginsel. Deze vraag ligt al bij het Hof van Justitie, omdat daarover door een Luxemburgse rechter vragen zijn gesteld. Nu deze kwestie al op het bord van de hoogste Europese rechter ligt, vond de Nederlandse kort geding-rechter het niet nodig hierover zelf ook nog vragen te stellen.

Privacy First heeft hoger beroep ingesteld bij het Gerechtshof Den Haag. De appèldagvaarding vindt u hier (pdf). Privacy First verzoekt het Gerechtshof Den Haag om alsnog zelf prejudiciële vragen over het UBO-register te stellen aan het Europees Hof van Justitie en het UBO-register buiten werking te stellen totdat die vragen beantwoord zijn. Verder vraagt Privacy First de rechter om de openbaarheid van het UBO-register tijdelijk op te schorten, in ieder geval totdat het Hof van Justitie van de Europese Unie hierover heeft geoordeeld. De uitspraak van het Gerechtshof wordt een paar weken na de zitting van 27 september 2021 verwacht.

De advocaat van Privacy First, Otto Volgenant van Boekx Advocaten: ‘Door het UBO-register komen privacygevoelige gegevens van miljoenen mensen op straat te liggen. Van alle kanten wordt betwijfeld of dat wel een effectief middel is in de strijd tegen witwassen en terrorisme. Het is met een kanon op een mug schieten. De hoogste Europese rechter, het Hof van Justitie van de EU, zal hier uiteindelijk over oordelen. Ik verwacht dat die een streep door het UBO-register zet. In ieder geval door de openbaarheid. Tot dat moment adviseer ik UBO’s om geen gegevens aan te leveren aan het UBO-register. Gegevens die eenmaal openbaar zijn, kun je niet terugnemen.’

Achtergrond van de rechtszaak tegen het UBO-register

Privacy First voert een principiële procedure tegen de Staat over het in 2020 ingevoerde UBO-register. In kort geding wordt de ongeldigheid ingeroepen van de regelgeving waarop het UBO-register is gebaseerd. De gevolgen van deze nieuwe wetgeving zijn ingrijpend. Het gaat immers om zeer privacygevoelige informatie. Gegevens over de financiële situatie van natuurlijke personen komen op straat te liggen. Alle ruim 1,5 miljoen juridische entiteiten die in het Handelsregister zijn ingeschreven moeten informatie over hun UBO’s (‘ultimate beneficial owners’ ofwel ‘uiteindelijk belanghebbenden’) openbaar maken. Het UBO-register is voor iedereen toegankelijk, voor € 2,50 per opvraging. Die openbaarheid is niet proportioneel.

Op 24 juni 2020 is de ‘Implementatiewet registratie uiteindelijk belanghebbenden van vennootschappen en andere juridische entiteiten’ in werking getreden. Op basis van deze nieuwe wet komt in een nieuw UBO-register, gekoppeld aan het Handelsregister van de KvK, informatie te staan over alle uiteindelijk belanghebbenden (‘ultimate beneficial owners’, kortweg ‘UBO’s’) van in Nederland opgerichte vennootschappen en andere juridische entiteiten. Daarbij moet worden aangegeven welk belang de UBO heeft, te weten van 25-50%, 50-75% of meer dan 75%. Van de UBO worden in ieder geval de naam, de geboortemaand en het geboortejaar en de nationaliteit openbaar voor iedereen raadpleegbaar, met alle privacyrisico’s van dien.

Sinds 27 september 2020 moeten nieuw opgerichte entiteiten hun UBO registreren in het UBO-register. Bestaande juridische entiteiten hebben nog tot 27 maart 2022 om hun UBO’s te registreren. De wet geeft maar zeer beperkte mogelijkheden voor afscherming van informatie. Dit is alleen mogelijk voor personen die door de politie worden beveiligd, voor minderjarigen en voor wie onder curatele is gesteld. Het gevolg zal zijn dat van vrijwel alle UBO’s openbaar bekend zal worden welk belang ze hebben. 

Europese anti-witwasrichtlijn

Deze nieuwe wet vloeit voort uit de Europese vijfde anti-witwasrichtlijn, die lidstaten verplicht persoonsgegevens van UBO’s te registreren en voor het publiek openbaar te maken. Het doel hiervan is het tegengaan van witwassen en terrorismefinanciering. Het registreren en vervolgens voor iedereen inzichtelijk maken van persoonsgegevens van UBO’s, inclusief het belang dat de UBO in de onderneming heeft, draagt volgens de Europese wetgever bij aan dat doel. De openbaarheid zou een afschrikkende werking hebben op personen die geld willen witwassen of terrorisme willen financieren. Maar de effectiviteit van een UBO-register in de strijd tegen witwassen en terrorisme is nooit onderbouwd.

Massale privacyschending en fundamentele kritiek

De vraag is of het middel het doel niet voorbijschiet. Het registreren en voor iedereen toegankelijk maken van de persoonsgegevens van alle UBO’s aan eenieder is een ‘blanket measure’ van preventieve aard. 99,99% van de UBO’s heeft niets met witwassen of financiering van terrorisme te maken. Als het wel proportioneel zou zijn om informatie over UBO’s te verzamelen, dan zou het voldoende moeten zijn als die informatie beschikbaar is voor die overheidsdiensten die zich bezighouden met de bestrijding van witwassen en terrorisme. Het gaat te ver om die informatie volledig openbaar te maken. De European Data Protection Supervisor oordeelde al dat deze privacyschending niet proportioneel is. Maar dat oordeel heeft niet geleid tot aanpassing van de Europese richtlijn.

Tijdens de Nederlandse parlementaire behandeling van deze wet kwam er uit verschillende hoeken fundamentele kritiek. Het bedrijfsleven roerde zich omdat men lastenverzwaring vreest – en inmiddels ervaart – en privacyrisico’s ziet. UBO’s van familiebedrijven die tot nu toe buiten de openbaarheid bleven lopen grote privacy- en veiligheidsrisico’s. Ook was er veel aandacht voor de positie van partijen die groot belang hechten aan bescherming van betrokkenen, zoals kerkgenootschappen en maatschappelijke organisaties. En voor verenigingen en stichtingen die geen eigenaren kennen leidt het tot lasten: zij moeten dezelfde gegevens die toch al in het Handelsregister staan ook nog in een ander register zetten. Helaas heeft dit niet tot aanpassing van de regelgeving geleid.

Follow the Money zocht uit wat de maatschappelijke kosten van het Nederlandse UBO-register zijn. Follow the Money schrijft: Het UBO-register brengt voor miljoenen ondernemers en bestuurders kosten, rompslomp en soms licht absurde bureaucratie met zich mee. Het ministerie van Financiën becijfert op vragen van Follow the Money de totale kosten van het register voor het bedrijfsleven op 99 miljoen euro. Daar komt nog 9 miljoen aan eenmalige invoeringskosten bij de overheid bij. Als advocaat Volgenant dat bedrag ziet, reageert hij verbijsterd: ‘De totale kosten zijn nog veel hoger dan ik zelf dacht! Als je dat voor de hele EU extrapoleert zijn de kosten astronomisch.’

Rechtszaak is kansrijk

Privacy First is een rechtszaak gestart tegen het UBO-register wegens schending van het grondrecht op privacy en bescherming van persoonsgegevens. Privacy First verzoekt de Nederlandse rechter om het UBO-register op korte termijn buiten werking te stellen en hierover vragen van uitleg te stellen aan de hoogste Europese rechter, het Hof van Justitie van de Europese Unie. Privacyschendende regelgeving wordt vaker door de rechter buiten werking gesteld. Privacy First heeft daar eerder met succes over geprocedeerd.

De Nederlandse wet en ook de achterliggende Europese richtlijn zijn in strijd met het Europese Handvest voor de Grondrechten en met de AVG. De wetgever heeft deze regelgeving in het leven geroepen, maar het is aan de rechter om daar een grondige toetsing op te doen. Uiteindelijk heeft de rechter het laatste woord. Wanneer de (Europese) wetgever onvoldoende oog heeft voor de bescherming van grondrechten, dan kan de (Europese) rechter de regelgeving buiten werking stellen. Het Hof van Justitie van de Europese Unie heeft eerder regelgeving ongeldig verklaard wegens privacyschendingen, bijvoorbeeld de Telecom-dataretentierichtlijn en het Privacy Shield. Ook de Nederlandse rechter stelt regelmatig privacyschendende regelgeving buiten werking. Privacy First heeft eerder met succes de geldigheid van wetgeving aan de orde gesteld, bijvoorbeeld in de procedure over de Wet Bewaarplicht Telecommunicatie en in de procedure over SyRI. Bezien tegen deze achtergrond wordt de rechtszaak tegen het UBO-register zeer kansrijk geacht. 

Update 27 september 2021: vanmiddag vond in het Gerechtshof Den Haag de rechtszitting plaats; klik HIER voor de pleitnota van onze advocaat (pdf). De uitspraak van het Hof staat vooralsnog gepland op dinsdag 16 november as. 

Heeft u vragen? Neem dan contact met ons op, of met onze advocaat Otto Volgenant van Boekx Advocaten. Privacy First kan uw hulp goed gebruiken en stelt het zeer op prijs als u donateur wordt.

Als NGO die zich inzet voor burgerrechten en privacybescherming houdt Privacy First zich al jaren bezig met financiële privacy. Sinds 2017 volgen we de ontwikkelingen rondom PSD2 op de voet, waarbij we wijzen op de gevaren voor de privacy van consumenten. In het bijzonder richten wij ons op privacyvraagstukken die zich voordoen rond ‘account information service providers’ (AISP’s) en de mogelijkheden die PSD2 biedt om persoonsgegevens verder te verwerken.

Ons PSD2-project begon in 2017. Toen dachten we dat het verstrekken van meer adequate informatie en meer transparantie aan consumenten voldoende zou zijn. De risico’s van PSD2 bleken echter groter en fundamenteler. Daarom heeft Privacy First een tweetalige (Nederlandse & Engelse) website gelanceerd genaamd PSD2meniet.nl om zowel onze zorgen als onze oplossingen ten aanzien van PSD2 te schetsen.

Centraal in ons project staat het filteren van bijzondere persoonsgegevens door het PSD2-me-niet register. Dit idee is op 7 januari 2019 door ons gelanceerd in het televisieprogramma Radar en in dit persbericht. Het PSD2-me-niet-register moet gebruikers daadwerkelijk een instrument geven waarmee zij hun eigen persoonsgegevens kunnen beschermen. Op termijn moet verdergaande filtering en beperking mogelijk worden. Met dit project draagt Privacy First bij aan positieve verbeteringen van PSD2 en de implementatie ervan, om zo een betere bescherming van persoonsgegevens te bereiken. Hierbij zijn we gesteund door het SIDN Fonds.

Bescherming van bijzondere persoonsgegevens

Privacy First heeft zich in dit project vooral gericht op ‘bijzondere persoonsgegevens’. Betalingen aan vakbonden, politieke partijen, religieuze organisaties of LHBT-belangenorganisaties, of betalingen aan medische dienstverleners. Maar ook betalingen aan het CJIB: ze onthullen delen van ons leven die extra beschermd moeten worden. Deze gegevens zijn direct te relateren aan fundamentele mensenrechten. Wanneer een consument een rekeninginformatiedienst gebruikt kunnen deze gegevens breder gedeeld worden. Door PSD2 kunnen gegevens, die nu beschermd zijn, via een omweg toch breed bekend worden, bijvoorbeeld doordat ze opgenomen worden in een profiel. Of omdat ze gebruikt worden als zwarte lijst.

De beste bescherming is voorkómen dat bijzondere persoonsgegevens worden verwerkt. We hebben daarom een PSD2-me-niet register opgezet en daaromheen een API, een privacyfilter. Met dit filter kan een AISP rekeningnummers detecteren en filteren en zo voorkomen dat bijzondere persoonsgegevens onnodig verwerkt of verstrekt worden. Bovendien wordt een consument geïnformeerd en krijgt deze een echte keuze om gegevens te delen of dat niet te doen.

Hoe nu verder?

Een groot deel van onze resultaten hebben we vervat in een Whitepaper. Deze is verstuurd aan stakeholders zoals de Europese Commissie, de European Data Protection Board (EDPB) en de Autoriteit Persoonsgegevens. En natuurlijk zoveel mogelijk AISP’s, want als zij de maatregelen overnemen beschermen zij privacy ‘by design’.  Onze Whitepaper bevat daarnaast een aantal andere voorbeelden hoe privacy beter te beschermen. Zoals de ‘good practices’ om betere transparantie over rekeninginformatiediensten te krijgen. We hopen dat AISP’s de adviezen in onze Whitepaper ter harte zullen nemen.

Onze API is opgenomen in een dienstverlener, Gatekeeper for Open Banking. We steunen hun doorontwikkeling en denken mee hoe het privacyfilter opgenomen kan worden in hun ontwerp en dienstverlening. Wanneer AISP’s de Gatekeeper gebruiken krijgen consumenten de regie over hun data die zij verdienen.

Met de Whitepaper en de API hebben we de instrumenten ontwikkeld en verspreid die gebruikt kunnen worden door AISP’s. De Europese Commissie evalueert de PSD2 pas vanaf 2022. Daarom zijn we blij dat we op deze manier onze gedachten hebben kunnen overdragen.

Privacy First blijft dit dossier monitoren. Onze website PSD2meniet.nl blijft in de lucht en zal een basis blijven voor dit onderwerp.

Heb je suggesties of wil je weten hoe het verder gaat? Laat het ons weten via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.!

Sinds 2009 bestaat de controversiële Europese verplichting om vingerafdrukken in paspoorten op te nemen. Tot nu toe waren identiteitskaarten van deze Europese verplichting uitgezonderd. Desondanks werden sinds 2009 ook in Nederlandse identiteitskaarten vingerafdrukken opgenomen, maar wegens privacybezwaren werd deze Nederlandse verplichting per januari 2014 afgeschaft. Inmiddels bestaat er echter nieuwe Europese wetgeving waardoor de opname van vingerafdrukken in identiteitskaarten per 2 augustus 2021 alsnog weer verplicht wordt.

Nederlandse burgers kunnen tot 2 augustus as. nog een nieuwe identiteitskaart zonder vingerafdrukken aanvragen. Daarna niet meer, tenzij u "tijdelijk of permanent fysiek niet in staat bent om vingerafdrukken te laten afnemen."

Naar verwachting zal de Eerste Kamer op 13 juli as. debatteren en stemmen over de wijziging van de Paspoortwet i.v.m. de herintroductie van vingerafdrukken in Nederlandse identiteitskaarten. In dat verband stuurde Privacy First gisteren onderstaande email aan de Eerste Kamer:

Geachte Kamerleden,

Reeds sinds onze oprichting in 2008 verzet Stichting Privacy First zich tegen de verplichte afname van vingerafdrukken voor paspoorten en identiteitskaarten. Privacy First deed dit sinds de invoering van de nieuwe Paspoortwet in 2009 middels rechtszaken, campagnes, Wob-verzoeken, politieke lobby en activering van media. Ondanks daaropvolgende stopzetting van de (geplande) centrale opslag van vingerafdrukken in een nationale databank en bij gemeenten in 2011 worden ieders vingerafdrukken nog steeds afgenomen bij aanvraag van een paspoort en binnenkort ook (door de nieuwe Europese Verordening identiteitskaarten) alsnog weer bij Nederlandse identiteitskaarten nadat dit in 2014 afgeschaft was. Tot op heden zijn alle miljoenen afgenomen vingerafdrukken van vrijwel de gehele volwassen Nederlandse bevolking in de praktijk echter niet of nauwelijks gebruikt, aangezien e.e.a. reeds in 2009 technisch ondeugdelijk en onwerkbaar was gebleken. De verplichte afname van ieders vingerafdrukken onder de Paspoortwet vormt daarmee nog steeds de meest massale en langst voortdurende privacyschending die Nederland ooit gekend heeft. Na lezing van het huidige verslag van uw Kamer bij de wijziging van de Paspoortwet ter herinvoering van vingerafdrukken in identiteitskaarten, attendeert Privacy First u hierbij dan ook op onderstaande aandachtspunten. In dit verband verzoeken wij u om tégen de betreffende wetswijziging te stemmen, ook tegen het Europese beleid in. Immers:

1. Reeds in mei 2016 heeft de Raad van State geoordeeld dat vingerafdrukken in Nederlandse identiteitskaarten in strijd zijn met het recht op privacy wegens gebrek aan noodzaak en proportionaliteit, zie https://www.raadvanstate.nl/pers/persberichten/tekst-persbericht.html?id=956 .
2. Uit Wob-verzoeken van Privacy First is gebleken dat het te bestrijden fenomeen (look-alike fraude met paspoorten en identiteitskaarten) dusdanig kleinschalig is, dat verplichte afgifte van ieders vingerafdrukken ter bestrijding hiervan volstrekt disproportioneel en dus onrechtmatig is. Zie https://www.privacyfirst.nl/rechtszaken-1/wob-procedures/item/524-onthullende-cijfers-over-look-alike-fraude-met-nederlandse-reisdocumenten.html.
3. Bij de vingerafdrukken in paspoorten en identiteitskaarten gold de laatste jaren een biometrisch foutenpercentage van maar liefst 30%, zie https://zoek.officielebekendmakingen.nl/kst-32317-163.html (staatssecretaris Teeven, 31 jan. 2013). Eerder gaf minister Donner een foutenpercentage van 21-25% toe: zie https://zoek.officielebekendmakingen.nl/kst-25764-47.html (27 april 2011). Hoe hoog zijn deze foutenpercentages anno 2021?
4. Mede vanwege bovengenoemde hoge foutenpercentages worden de vingerafdrukken in paspoorten en identiteitskaarten tot op heden vrijwel niet gebruikt, noch in het binnenland, noch aan de grenzen of op luchthavens.
5. Vanwege deze hoge foutenpercentages instrueerde voormalig staatssecretaris Bijleveld (BZK) reeds in september 2009 alle Nederlandse gemeenten om (in principe) geen vingerafdruk-verificaties uit te voeren bij de uitgifte van paspoorten en identiteitskaarten. Bij een “mismatch” dient het betreffende ID-document immers retour aan de paspoortfabrikant gezonden te worden, wat bij hoge aantallen tot snelle maatschappelijke ontwrichting zou leiden. Tevens maakte BZK zich in dit verband zorgen om grootschalige onrust en mogelijk geweld bij gemeentebalies. De betreffende zorgen en instructie van staatssecretaris Bijleveld gelden tot op heden nog steeds.
6. Sinds 2016 lopen bij het Europees Hof voor de Rechten van de Mens in Straatsburg nog diverse individuele Nederlandse rechtszaken waarin de verplichte afgifte van vingerafdrukken voor paspoorten en ID-kaarten aangevochten wordt wegens strijd met art. 8 EVRM (recht op privacy).
7. Voor mensen die om welke reden dan ook geen vingerafdrukken wensen af te geven (biometrisch gewetensbezwaarden, art. 9 EVRM) zou alsnog een uitzondering moeten worden bedongen.
8. Mede om bovenstaande redenen worden sinds januari 2014 voor de Nederlandse identiteitskaart geen vingerafdrukken meer afgenomen. Het is aan uw Kamer om deze situatie te handhaven en tevens aan te dringen op afschaffing van vingerafdrukken voor paspoorten.

Zie voor achtergrondinformatie het WRR-rapport ‘Happy Landings’ dat Privacy First directeur Vincent Böhre schreef in 2010. Mede naar aanleiding van dit kritische rapport (en de grootschalige rechtszaak van Privacy First c.s. tegen de Paspoortwet) werd in 2011 de decentrale (gemeentelijke) opslag van vingerafdrukken grotendeels afgeschaft en werd de geplande centrale opslag van vingerafdrukken stopgezet.

Voor nadere informatie of vragen met betrekking tot bovenstaande is Privacy First te allen tijde bereikbaar.

Hoogachtend,

Stichting Privacy First 

Media update: interview BNR Nieuwsradio 2 augustus 2021, https://www.bnr.nl/nieuws/technologie/10450184/identiteitskaart-voortaan-altijd-met-vingerafdrukken.

Vandaag verstuurde Stichting Privacy First onderstaande brief (pdf) aan informateur Tjeenk Willink. Privacy First roept de informateur hierin op om bij de kabinetsformatie serieuze aandacht aan het onderwerp privacy te besteden: 

Geachte heer Tjeenk Willink,

Graag vragen wij hierbij uw aandacht voor privacy als noodzakelijk onderwerp binnen de gesprekken die door u en de partijen gevoerd worden.

De Coronacrisis waarin we momenteel leven heeft niet alleen veel geld gekost en de gezondheid van heel veel Nederlanders op het spel gezet, maar heeft ook het belang van goede bescherming van de persoonlijke levenssfeer van Nederlanders benadrukt. De CoronaMelder app en het datalek bij de GGD’en zijn pijnlijke voorbeelden van een gebrekkige bescherming van de persoonlijke levenssfeer en in deze gevallen meer specifiek de bescherming van persoonsgegevens. Andere voorbeelden zijn de talloze incidenten in de (semi)publieke en private sector, alsook de vaststelling[1] dat de meeste grote bedrijven in ons land zich bewust niet aan de (U)AVG houden.

Uit reacties in politiek en samenleving wordt de AVG onterecht en soms zelfs onrechtmatig gekarikaturiseerd als een stapel nieuwe, strenge maatregelen, die onhaalbare inspanningen van bedrijven (of overheid) vraagt en effectiviteit en efficiency bij overheid en ondernemers belemmert. Het zorgvuldig omgaan met persoonsgegevens is niet alleen een kwestie van normaal fatsoen: het is een fundamenteel recht, een mensenrecht.[2] De wettelijke voorwaarden waaraan organisaties moeten voldoen om dit recht te beschermen zijn bovendien voor bijna alle organisaties goed te realiseren. Zorgvuldige omgang met persoonsgegevens en respect voor het privéleven zal altijd uitgangspunt moeten zijn binnen organisaties en bij de ontplooiing van hun activiteiten. Dat kan doorgaans met redelijke inspanningen worden gerealiseerd, waardoor niet alleen aan de minimale eisen vanuit de wet wordt voldaan, maar bovendien wordt bijgedragen aan transparantie, vertrouwen en betere (klanten)binding met betrokkenen. Zeker wanneer privacy en gegevensbescherming worden gezien als onderdeel van een kwalitatieve dienstverlening. Sinds het van toepassing worden van de AVG, maar zeker ook in het afgelopen jaar waarin de gemiddelde Nederlandse burger zich steeds bewuster is geworden van het belang van de bescherming van de eigen persoonlijke levenssfeer, is het brede belang van privacy terechte aandacht gaan krijgen. Dit is een goed begin, maar er valt nog veel te leren en veel winst op verschillende vlakken te behalen; naast persoonlijk zeker ook economisch.

Het is daarom onze wens, aansluitend op de visie van onze stichting, dat het aankomende kabinet:

1. zich voldoende bewust is van het belang van bescherming van dit grondrecht en dit ook expliciet onderkent en uitdraagt;
2. hierbij zelf het goede voorbeeld geeft door haar eigen verantwoordelijkheden voldoende zorgvuldig in te richten;
3. hierbij de positieve effecten onderkent en praktisch vertaalt, volgend uit zorgvuldige omgang met persoonsgegevens van Nederlanders, vergelijkbaar met zorgvuldige omgang met hun (belasting)geld;
4. het bedrijfsleven en alle andere sectoren actief aanspoort en waar nodig en mogelijk dit ook te doen;
5. de Autoriteit Persoonsgegevens alsnog snel de ruimte en middelen biedt die nodig zijn om haar taken volwaardig te kunnen uitoefenen;[3]
6. de ambitie overweegt om op dit terrein van Nederland een internationaal voorbeeldland te maken door:
   1. als overheid heel transparant te zijn;
   2. open te staan voor leren van, investeren in en samenwerken met goede initiatieven;
   3. open te staan voor toetsing van wetgeving,
   4. waar nodig via rechtspraak en/of
   5. leidend tot aanpassing van nationale wetgeving of
   6. inzet tot aanpassing van Europese wet- en regelgeving.

Wij hopen dat u het belang van privacy en gegevensbescherming en de serieuze aandacht die hiervoor in ons land nodig is, deelt en in uw gesprekken in de informatiefase meeneemt. Voor concrete input per politieke partij verwijzen wij u naar het onafhankelijke rapport van de Datavakbond[4] waarin de standpunten uit de meeste partijprogramma’s op het gebied van privacy en informatieveiligheid zijn verzameld.

Hoogachtend,

Stichting Privacy First

[1] Zie o.m. https://fd.nl/economie-politiek/1379255/meerderheid-nederlandse-bedrijven-voldoet-na-drie-jaar-nog-niet-aan-privacywet, met als kanttekening dat wij stellen dat het bedrijfsleven in dit artikel de schuld te ver buiten de eigen verantwoordelijkheden legt, omdat zij dit voor veruit de meeste vraagstukken goed kunnen, maar vaak nog niet voldoende serieus oppakken.

[2] Het recht op de bescherming van privacy is o.a. vastgelegd in de Nederlandse Grondwet (art. 10), Handvest van de grondrechten van de Europese Unie (art. 7 en 8), het Europees Verdrag voor de Rechten van de Mens (art. 8) en het Internationaal Verdrag inzake Burgerrechten en Politieke Rechten (art. 17).

[3] https://www.trouw.nl/nieuws/autoriteit-persoonsgegevens-kampt-met-dramatische-achterstand-nog-10-000-klachten-op-de-plank~b808a335/.

[4] https://datavakbond.nl/?page_id=2725.

De Nederlandse rechter heeft vandaag vonnis gewezen in het kort geding dat Privacy First aanhangig maakte over het UBO-register. De rechter heeft bevestigd dat er alle aanleiding is om te twijfelen aan de rechtsgeldigheid van de Europese witwasrichtlijnen die de grondslag vormen voor het UBO-register. De rechter volgt op dit punt het zeer kritische advies van de Europese privacy-toezichthouder EDPS (European Data Protection Supervisor). De Nederlandse kort geding-rechter oordeelt dat niet valt uit te sluiten dat de hoogste Europese rechter, het Hof van Justitie van de EU, tot de conclusie zal komen dat het openbare karakter van het UBO-register zich niet verhoudt met het evenredigheidsbeginsel. Deze vraag ligt sinds kort al bij het Hof van Justitie, omdat daarover recent door een Luxemburgse rechter vragen zijn gesteld. Nu deze kwestie al op het bord van de hoogste Europese rechter ligt, vindt de Nederlandse rechter het niet nodig hierover zelf ook nog vragen te stellen.

Privacy First had ook om tijdelijke buitenwerkingstelling van het UBO-register gevraagd. Dat gaat de rechter een stap te ver. De rechter meent dat buitenwerkingstelling van het register niet mogelijk is zolang de onderliggende EU-richtlijn nog van kracht is. Dan zou de Nederlandse Staat in een positie worden gebracht dat er in strijd wordt gehandeld met een Europese richtlijn. Met deze vordering loopt Privacy First volgens de rechter op de muziek vooruit. Privacy First zal het vonnis op dit punt bestuderen, ook met het oog op een mogelijk hoger beroep.

De advocaat van Privacy First, Otto Volgenant van Boekx Advocaten: ‘Door het UBO-register komen privacygevoelige gegevens van miljoenen mensen op straat te liggen. Van alle kanten wordt betwijfeld of dat wel een effectief middel is in de strijd tegen witwassen en terrorisme. Het is met een kanon op een mug schieten. De hoogste Europese rechter, het Hof van Justitie van de EU, zal hier uiteindelijk over oordelen. Ik verwacht dat die een streep door het UBO-register zet.’

Achtergrond

Begin dit jaar maakte Stichting Privacy First een principiële rechtszaak tegen de Staat aanhangig over het nieuwe UBO-register bij de Kamer van Koophandel. Onder de wetgeving waarop het UBO-register is gebaseerd moeten alle 1,5 miljoen rechtspersonen die in het Handelsregister zijn ingeschreven allerlei privacygevoelige informatie over hun UBO’s (‘ultimate beneficial owners’ oftewel ‘uiteindelijk belanghebbenden’) openbaar maken. Dit betreft de persoonsgegevens van miljoenen bestuurders, aandeelhouders en hoge leidinggevenden van bedrijven (waaronder familiebedrijven), stichtingen, verenigingen, maatschappelijke organisaties en goede doelen, kerken etc. Privacy First acht dit een massale privacyschending die tevens persoonlijke veiligheidsrisico’s creëert. Privacy First heeft daarom de rechter verzocht om het UBO-register per direct onrechtmatig te verklaren. Veel informatie in het UBO-register zal openbaar toegankelijk zijn en door iedereen opgevraagd kunnen worden. Privacy First acht dit volstrekt disproportioneel en in strijd met Europees privacyrecht. Het Hof van Justitie van de EU zal toetsen of de Europese regelgeving waarop het UBO-register is gebaseerd in strijd is met het grondrecht op privacy.

Het vonnis van de kort geding rechter staat hier: http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBDHA:2021:2457.

Update 15 april 2021: gisteren heeft Privacy First spoedappèl tegen het gehele vonnis ingesteld bij het Hof Den Haag. De appèldagvaarding vindt u HIER (pdf). Privacy First verzoekt het Hof o.a. om alsnog zelf prejudiciële vragen over het UBO-register te stellen aan het Europees Hof van Justitie en het UBO-register buiten werking te stellen totdat die vragen beantwoord zijn. Gezien de grote belangen die op het spel staan hoopt Privacy First dat het Hof Den Haag deze zaak op de kortst mogelijke termijn zal behandelen.

Update 17 augustus 2021: de rechtszitting in het hoger beroep (spoedappèl) van Privacy First tegen het vonnis zal op maandag 27 september as. bij het Hof Den Haag plaatsvinden. 

Privacy First maakt een principiële procedure aanhangig tegen de Staat over het onlangs ingevoerde UBO-register. In kort geding wordt de ongeldigheid ingeroepen van de regelgeving waarop het UBO-register is gebaseerd. De gevolgen van deze nieuwe wetgeving zijn ingrijpend. Het gaat immers om zeer privacygevoelige informatie. Gegevens over de financiële situatie van natuurlijke personen komen op straat te liggen. Alle ruim 1,5 miljoen juridische entiteiten die in het Handelsregister zijn ingeschreven moeten informatie over hun UBO’s (‘ultimate beneficial owners’ ofwel ‘uiteindelijk belanghebbenden’) openbaar maken. Het UBO-register is voor iedereen toegankelijk, voor € 2,50 per opvraging.

Het UBO-register beoogt witwassen tegen te gaan, maar zal zwartmaken tot gevolg hebben.

De privacyschending die het gevolg is van het UBO-register en de openbare toegankelijkheid van gevoelige gegevens is niet proportioneel. Het doel van het UBO-register is witwassen tegengaan en terrorismefinanciering bestrijden. Om dat doel te bereiken is geen UBO-register nodig, in ieder geval geen register dat voor iedereen openbaar toegankelijk is.

Privacy First verzoekt daarom de Nederlandse rechter om het UBO-register buiten werking te stellen en hierover zonodig vragen van uitleg te stellen aan de hoogste Europese rechter, het Hof van Justitie van de Europese Unie. Uiteindelijk heeft de rechter in dit soort zaken het laatste woord. Privacyschendende regelgeving wordt vaker door de rechter buiten werking gesteld. Privacy First heeft daar eerder met succes over geprocedeerd.

De rechtszaak zal door de Rechtbank Den Haag worden behandeld. Het kort geding wordt behandeld op 25 februari 2021 om 12.00 uur. De dagvaarding vindt u HIER (pdf). De uitspraak volgt twee of drie weken na de zitting.

Heeft u vragen? Neem dan contact met ons op, of met onze advocaat Otto Volgenant van Boekx Advocaten. Privacy First kan uw hulp goed gebruiken en stelt het zeer op prijs als u donateur wordt.

Achtergrond rechtszaak tegen UBO-register

Op 24 juni 2020 is de ‘Implementatiewet registratie uiteindelijk belanghebbenden van vennootschappen en andere juridische entiteiten’ in werking getreden. Op basis van deze nieuwe wet komt in een nieuw UBO-register, gekoppeld aan het Handelsregister van de KvK, informatie te staan over alle uiteindelijk belanghebbenden (‘ultimate beneficial owners’ / UBO’s) van in Nederland opgerichte vennootschappen en andere juridische entiteiten. Daarbij moet worden aangegeven welk belang de UBO heeft, te weten van 25-50%, 50-75% of meer dan 75%. Van de UBO worden in ieder geval de naam, de geboortemaand en het geboortejaar en de nationaliteit openbaar voor iedereen raadpleegbaar, met alle privacy-risico’s van dien.

Sinds 27 september 2020 moeten nieuw opgerichte entiteiten hun UBO registreren in het UBO-register. Bestaande juridische entiteiten hebben nog tot 27 maart 2022 om hun UBO’s te registreren.

De wet geeft maar zeer beperkte mogelijkheden voor afscherming van informatie. Dit is alleen mogelijk voor personen die door de politie worden beveiligd, voor minderjarigen en voor wie onder curatele is gesteld. Het gevolg zal zijn dat van vrijwel alle UBO’s openbaar bekend zal worden welk belang ze hebben. Iedereen heeft toegang tot het UBO-register, tegen betaling van € 2,50 per uittreksel.

Europese anti-witwasrichtlijn

Deze nieuwe wet vloeit voort uit de Europese vijfde anti-witwasrichtlijn, die lidstaten verplicht persoonsgegevens van UBO’s te registreren en voor het publiek openbaar te maken. Het doel hiervan is het tegengaan van witwassen en terrorismefinanciering. Het registreren en vervolgens voor iedereen inzichtelijk maken van persoonsgegevens van UBO’s, inclusief het belang dat de UBO in de onderneming heeft, draagt volgens de Europese wetgever bij aan dat doel. De openbaarheid zou een afschrikkende werking hebben op personen die geld willen witwassen of terrorisme willen financieren.

Massale privacyschending en fundamentele kritiek

De vraag is of het middel het doel niet voorbijschiet. Het registreren en voor iedereen toegankelijk maken van de persoonsgegevens van alle UBO’s aan eenieder is een ‘blanket measure’ van preventieve aard. 99,99% van de UBO’s heeft niets met witwassen of financiering van terrorisme te maken. Als het al proportioneel is om informatie over UBO’s te verzamelen, dan zou het voldoende moeten zijn als die informatie beschikbaar is voor die overheidsdiensten die zich bezighouden met de bestrijding van witwassen en terrorisme. Het gaat te ver om die informatie volledig openbaar te maken. De European Data Protection Supervisor oordeelde al dat deze privacyschending niet proportioneel is. Maar dat oordeel heeft niet geleid tot aanpassing van de Europese richtlijn.

Tijdens de Nederlandse parlementaire behandeling van deze wet kwam er uit verschillende hoeken fundamentele kritiek. Het bedrijfsleven roerde zich omdat men lastenverzwaring vreest – en inmiddels ervaart – en privacyrisico’s ziet. UBO’s van familiebedrijven die tot nu toe buiten de openbaarheid bleven lopen grote privacy- en veiligheidsrisico’s. Ook was er veel aandacht voor de positie van partijen die groot belang hechten aan bescherming van betrokkenen, zoals kerkgenootschappen en maatschappelijke organisaties. En voor verenigingen en stichtingen die geen eigenaren kennen leidt het tot lasten: zij moeten dezelfde gegevens die toch al in het Handelsregister staan ook nog in een ander register zetten. Helaas heeft dit niet tot aanpassing van de regelgeving geleid.

Rechtszaak is kansrijk

Privacy First is een rechtszaak gestart tegen het UBO-register wegens schending van het grondrecht op privacy en bescherming van persoonsgegevens. Privacy First verzoekt de Nederlandse rechter om het UBO-register op korte termijn buiten werking te stellen en hierover zonodig vragen van uitleg te stellen aan de hoogste Europese rechter, het Hof van Justitie van de Europese Unie.

De Nederlandse wet en ook de achterliggende Europese richtlijn zijn in strijd met het Europese Handvest voor de Grondrechten en met de AVG. De wetgever heeft deze regelgeving in het leven geroepen, maar het is aan de rechter om daar een grondige toetsing op te doen. Uiteindelijk heeft de rechter het laatste woord. Wanneer de (Europese) wetgever onvoldoende oog heeft voor de bescherming van grondrechten, dan kan de (Europese) rechter de regelgeving buiten werking stellen. Dat gebeurt vaker. Het Hof van Justitie van de Europese Unie heeft eerder regelgeving ongeldig verklaard wegens privacyschendingen, bijvoorbeeld de Dataretentierichtlijn en recent het Privacy Shield. Ook de Nederlandse rechter stelt regelmatig privacyschendende regelgeving buiten werking. Privacy First heeft eerder met succes de geldigheid van wetgeving aan de orde gesteld, bijvoorbeeld in de procedure over de Wet Bewaarplicht Telecommunicatie en in de procedure over SyRI. Bezien tegen deze achtergrond wordt de rechtszaak tegen het UBO-register zeer kansrijk geacht.

Update 25 februari 2021: vanmiddag vond in de rechtbank Den Haag de rechtszitting plaats; klik HIER voor de pleitnota van onze advocaat (pdf). De uitspraak van de rechter staat gepland op donderdag 18 maart as.

Media:
Security.nl, 6 januari 2021: Privacy First start rechtszaak tegen Staat over UBO-register
Mr. Online, 7 januari 2021: Privacy First begint rechtszaak over ‘ongeldig’ UBO-register 
Advocatie, 7 januari 2021: Kort geding Privacy First om ‘privacy schendend’ UBO-register buiten werking te stellen
Security.nl, 7 januari 2021: Belgische overheid haalt UBO-register offline wegens beveiligingslek
Financieel Dagblad, 8 januari 2021: Privacyclub sleept staat voor rechter om UBO-register 
Controllers Magazine, 23 februari 2021: UBO-register: Buitenproportioneel middel tegen witwassen?
TaxLive, 24 februari 2021: Op weg naar een beperkt openbaar UBO-register
NOS.nl, 25 februari 2021: Privacy First vecht met kort geding het UBO-register aan
Radio 1 Journaal (NOS), 25 februari 2021: interview met Privacy First over rechtszaak tegen UBO-register (vanaf 6.44u)
BNR Nieuwsradio, 25 februari 2021: interview met Privacy First over rechtszaak tegen UBO-register

Op 23 juni 2020 is de ‘Implementatiewet registratie uiteindelijk belanghebbenden van vennootschappen en andere juridische entiteiten’ aangenomen. Op basis van deze nieuwe wet komt in het Handelsregister van de KvK informatie te staan over alle uiteindelijk belanghebbenden (‘ultimate beneficial owners’ / UBO’s) van in Nederland opgerichte vennootschappen en andere juridische entiteiten. Daarbij moet worden aangegeven welk belang de UBO heeft, te weten van 25-50%, 50-75% of meer dan 75%. Van de UBO worden in ieder geval de naam, de geboortemaand en het geboortejaar en de nationaliteit openbaar voor iedereen raadpleegbaar, met alle privacy-risico’s van dien. De wet geeft maar zeer beperkte mogelijkheden voor afscherming van informatie. Dit is alleen mogelijk voor personen die door de politie worden beveiligd, voor minderjarigen en voor wie onder curatele is gesteld. Het gevolg zal zijn dat van vrijwel alle UBO’s openbaar bekend zal worden welk belang ze hebben. De wet treedt op korte termijn in werking. Daarna hebben juridische entiteiten nog achttien maanden om hun UBO’s te registreren. De gevolgen van deze nieuwe wetgeving zullen ingrijpend zijn. Het is een wet die beoogt witwassen tegen te gaan, maar zwartmaken bewerkstelligt.

Europese richtlijn

Deze wetswijziging vloeit voort uit de Europese vijfde anti-witwasrichtlijn, die lidstaten verplicht persoonsgegevens van UBO’s te registreren en voor het publiek openbaar te maken. Het doel hiervan is het tegengaan van witwassen en terrorismefinanciering. Het voor iedereen inzichtelijk maken van persoonsgegevens van UBO’s, inclusief het belang dat de UBO in de onderneming heeft, draagt volgens de Europese wetgever bij aan dat doel. De openbaarheid zou een afschrikkende werking hebben op personen die geld willen witwassen of terrorisme willen financieren.

Massale privacyschending

De vraag is of het middel het doel niet voorbijschiet. Het voor iedereen toegankelijk maken van de persoonsgegevens van alle UBO’s aan eenieder is een ‘blanket measure’ van preventieve aard. 99,9% van de UBO’s heeft niets met witwassen of financiering van terrorisme te maken. Het is een schending van de privacy die in de optiek van Privacy First niet proportioneel is. In het privacyrecht is een belangrijk principe dat gegevens die voor het ene doel zijn verzameld niet voor een ander doel mogen worden gebruikt. Het zou voldoende moeten zijn als de informatie over UBO’s beschikbaar is voor die overheidsdiensten die zich bezighouden met de bestrijding van witwassen en de bestrijding van terrorisme. Het gaat te ver om die informatie volledig openbaar te maken. De European Data Protection Supervisor oordeelde al dat deze privacyschending niet proportioneel is. Maar dat oordeel heeft niet geleid tot aanpassing van de Europese richtlijn.

Tijdens de Nederlandse parlementaire behandeling van deze wet kwam er uit verschillende hoeken fundamentele kritiek. Het bedrijfsleven roerde zich omdat men lastenverzwaring vreest en privacyrisico’s ziet. Familiebedrijven waarvan de UBO’s tot nu toe buiten de openbaarheid bleven hebben veel privacy te verliezen. Ook was er veel aandacht voor de positie van partijen die groot belang hechten aan bescherming van betrokkenen, zoals kerkgenootschappen en maatschappelijke organisaties. Helaas heeft dit niet tot aanpassing van de regelgeving geleid.

Rechtszaak

Privacy First zal een rechtszaak starten tegen het UBO-register wegens schending van het Europees privacyrecht. De Nederlandse wet en ook de bovenliggende Europese richtlijn zijn in strijd met het Europese Handvest voor de Grondrechten en met de AVG. Het is aan de rechter om daar een grondige toetsing op te doen. Privacy First heeft eerder met succes de geldigheid van wetgeving aan de orde gesteld, bijvoorbeeld in de procedure over de Wet Bewaarplicht Telecommunicatie.

Privacy First voert haar strategische procedures over privacy veelal met een coalitie van belanghebbenden. Privacy First inventariseert momenteel welke partijen hieraan een bijdrage kunnen leveren. Zou u (of uw organisatie) graag als mede-eiser aan deze rechtszaak willen deelnemen? Neem dan contact met ons op, of met onze advocaat Otto Volgenant van Boekx Advocaten. Als u Privacy First hierin financieel wilt steunen kunt u tevens donateur worden.

Update 6 januari 2021: vandaag is de rechtszaak van Privacy First tegen het UBO-register van start gegaan. Lees HIER meer over de zaak, onze dagvaarding en de geplande rechtszitting bij de rechtbank Den Haag.

Nederlandse privacy-activist wint Finse zaak over elektronische sleutels

Bewoners van appartementen in een flatgebouw hebben in beginsel het recht om onbespied hun eigen woning te betreden. Dat heeft de Finse privacy-autoriteit op 29 juli 2020 bevestigd in een zaak die was aangespannen door de Arnhemse privacy-activist Michiel Jonker. De installatie van een elektronisch systeem dat monitort met welke adresgebonden en gechipte sleutel op welk tijdstip welke deur wordt geopend, is volgens de Finse privacywaakhond Tietosuojavaltuutettu (Finnish Data Protection Ombudsman) in strijd met de AVG.

Het gaat om een Fins gebouw met kleine appartementen waarin zowel huurders als eigenaren wonen. In 2018 had de Vereniging van Eigenaren (VvE) besloten om het elektronische bewakingssysteem te installeren op alle externe ingangen van het gebouw. Het voornemen was om ook alle individuele appartementen aan te sluiten op het systeem. Het systeem wordt beheerd door een ingehuurd bedrijf en zou alleen in opdracht van de politie worden geraadpleegd, al dan niet op verzoek van het bestuur van de VvE.

Aanleiding vormden enkele incidenten waaruit volgens het bestuur bleek dat zich voormalige bewoners in de kelder van het gebouw hadden bevonden en daar sporen hadden achtergelaten. Het vermoeden was dat zij gebruik hadden gemaakt van niet-ingeleverde sleutels. Volgens het bestuur van de VvE werden er geen persoonsgegevens verwerkt, omdat de nieuwe, elektronische sleutels weliswaar adresgebonden waren, maar niet persoonsgebonden.

Jonker maakte bezwaar tegen het systeem en stelde dat de noodzaak voor een dergelijke monitoring niet was aangetoond. De VvE had geen wettelijke grondslag gegeven voor de gegevensverwerking. Ook waren de huurders niet geraadpleegd, waardoor een grote groep bewoners geen toestemming had gegeven. Jonker achtte de verwerkte gegevens wel herleidbaar tot personen, in het bijzonder in het geval van eenpersoonshuishoudens.

De Finse privacy-autoriteit stelde Jonker op al deze punten in het gelijk, en wees erop dat de Finse wetgeving met betrekking tot de besluitvorming van VvE's geen vrijbrief vormt voor besluiten die in strijd zijn met de AVG. Ook wees de autoriteit erop dat een verhuurder niet namens een huurder toestemming kan geven voor de verwerking van persoonsgegevens. Voorts wees de autoriteit erop dat een toestemming voor de verwerking van persoonsgegevens door elke betrokkene (ongeacht of dat een huurder of een eigenaar is) op elk moment kan worden ingetrokken, conform de AVG.

De autoriteit benadrukte dat het belang van een derde (bijvoorbeeld de politie) geen rechtvaardiging kan vormen voor gegevensverwerking die onder verantwoordelijkheid van de VvE plaatsvindt. Ten slotte wees de autoriteit erop dat de VvE ten onrechte geen alternatieven had onderzocht die geen of een minder grote inbreuk op de privacy plegen, daarbij inbegrepen een vervanging van analoge sleutels door nieuwe analoge sleutels.

De privacy-autoriteit gaf de VvE opdracht de omgang met persoonsgegevens in overeenstemming te brengen met de AVG.

Jonker: "Het was voor mij een vreemde, nieuwe ervaring om door een privacy-autoriteit in het gelijk gesteld te worden zonder tussenkomst van een rechter. In Nederland heb ik dat met de Autoriteit Persoonsgegevens nog nooit meegemaakt. Ook in Finland ging het trouwens niet zonder slag of stoot. Na twee jaar wachten op de behandeling van mijn zaak, heb ik daar een klacht ingediend bij de zogeheten Parlementaire Ombudsman. Enkele dagen daarna ging de Finse privacy-autoriteit er alsnog mee aan de slag, en nam twee maanden later een beslissing. Ook in Finland is er bij de privacy-toezichthouder een tekort aan personele capaciteit, waardoor de beslistermijnen van de AVG structureel niet worden gehaald. Maar ik ben tevreden over de inhoud van deze beslissing. Natuurlijk is het nu zaak dat de VvE de opdracht van de privacy-autoriteit ook daadwerkelijk gaat uitvoeren."

Contactverzoeken voor dhr. Jonker kunnen worden ingediend via Stichting Privacy First.

Klik HIER voor de volledige uitspraak van de Finse privacy-autoriteit (in het Fins).

Media:
https://www.security.nl/posting/666564/Finse+toezichthouder+noemt+elektronisch+sleutelsysteem+flat+in+strijd+met+AVG
https://frontpage.fok.nl/nieuws/835884/1/1/50/nederlandse-privacy-activist-wint-zaak-over-elektronische-sleutels.html
https://www.is.fi/digitoday/tietoturva/art-2000006600839.html (grote Finse tabloid)
https://www.hs.fi/politiikka/art-2000006601066.html (grootste krant van Finland en Scandinavië) 
https://www.kotitalolehti.fi/sahkolukko-seuraa-liikkeitasi-kuka-tallentaa-tiedot/ (vergelijkbaar met Nederlands tijdschrift Eigen Huis van VEH)
https://www.hameensanomat.fi/kanta-hame/tietosuojavaltuutettu-sahkolukkojen-keraamat-ovenavaustiedot-ovat-henkilotietoja-1451149/
https://www.tivi.fi/uutiset/taloyhtio-asensi-sahkolukot-mutta-mokasi-gdprn-kanssa-nain-paatti-tietosuojavaltuutettu/a7401466-c107-43f3-a3e9-86514efd28d4
https://www.tekniikkatalous.fi/uutiset/onko-teillakin-sahkolukkojarjestelma-tietosuojavaltuutettu-antoi-maarayksen-lainvastaisesti-toimineelle-taloyhtiolle/c868846a-15f5-4903-a8e1-339c3a726747
https://www.is.fi/digitoday/tietoturva/art-2000006616790.html