Abstract
For the past few decades, we have been observing a process of the intertwining of state- and nonstate surveillance capacities and a gradual spread of responsibility for crime control onto actors
operating outside the criminal justice system. Hand in hand with technological developments and
an increase in the amount of information, including personal data, collected and processed by
private companies, states have become ever more interested in, if not dependent on, the nonpublic sources of data. The growing appetite of public law enforcement authorities for information
stored in the digital dossiers of private actors has incentivised democratic legislators to find ways
of legitimising the use of police surveillance powers not exclusively by competent state bodies but
through alliances with the private sector.
The Anti-Money Laundering and Countering the Financing of Terrorism (AML/CFT) system is one
of the chief examples of formally deputising non-state actors to contribute to crime control and
security. The AML/CFT regulatory regime involves private financial institutions, most notably banks,
in policing by requiring them, i.a., to constantly monitor the transactions of their customers and
report any instances of suspicions of crime. Next to the existing AML/CFT legal system, a new trend
has recently emerged. In several countries, voluntary public-private partnerships (PPPs) for
financial information sharing have been established (beyond the current AML/CFT legal
framework) with a view of further facilitating the investigatory capacities and policing potentials of
both public and private actors.
While the extensive sharing of information, which is a cornerstone of the AML/CFT system and,
more broadly, a characteristic of modern public-private collaboration in the area of crime control,
allegedly comes with great promises, it also invites many pertinent questions.
From the citizens' point of view, the engagement of private actors in policing creates a new reality
in which they are no longer confronted only with the power of the state but with the entire network
of joint public-private powers. This calls for reconsidering the traditional means of circumscribing
power and preventing its potential abuse, such asthe principle of the rule of law and human rights.
In the context of the challenges arising from public-private collaboration through information
sharing, two most relevant rights appear to be the right to privacy and the right to the protection
of personal data.
None of the two are absolute rights, which means that under certain conditions, their exercise can
be limited. One of these conditions is the condition of legality, which demands every limitation to
be ‘provided for by law’.
Considering that public-private collaboration through personal data sharing puts the rights to
privacy and protection of personal data at risk, this thesis explores what it means for such kind of
interference to be ‘provided for by law’ and how this condition can protect individuals against the
abuse of networked power.
The thesis argues that not every legislative intervention can suffice because the requirement of
being ‘provided for by law’ should not be understood merely as an obligation for the state to adopt
laws in compliance with formally correct democratic procedures. These laws must also stand the
test of legitimacy. Drawing on the arguments of Lon L. Fuller presented in his seminal book ‘The
Morality of Law’ and extensive case law of the European Court of Human Rights and the Court of
Justice of the European Union in surveillance cases, the thesis seeks an answer to the following
research question: How shall the legitimacy of personal data sharing be interpreted in order to
ensure protection of individuals against abuses of networked power and how can such
interpretation apply in the sharing of personal data for the purposes of combatting money
laundering and terrorism financing?
The analysis carried out through five substantive chapters of the book leads to the conclusion that
legitimacy must be interpreted as a feature of law, which demands more than legality. Legitimacy
requires that the law strives for a high level of legal excellence. This allows it to enhance human
dignity by creating respectful, reciprocal relationships between the legislator and those subject to
the law rather than be an imposed one-way projection of the legislator’s authority, which is
absolutely essential given the reconfiguration of roles in the traditional crime control landscape.
The thesis contends that the high level of legal excellence should pertain to the procedural
normative threshold for legality. It means that it is not strictly the content of the law that is subject
to the assessment of legitimacy, as this can be subject to examination of other conditions of human
rights’ limitations, but whether the law respects criteria such as foreseeability, clarity, and the
possibility of effective execution.
In the context of the processing of personal data, legitimacy must be considered a demand for a
unanimous legal basis for data processing. Since data sharing leads to the emergence of new robust
surveillance networks, it is of particular importance that the basis for data processing is not only
‘laid down by law’ but that such a basis is also ‘legitimate’.
The legitimacy of policing via banks, i.e. of personal data sharing in the area of the AML/CFT,should
require the law that lays down legal bases for every processing operation to ensure a high level of
predictability of the processing. Data subjects should know when and for what purposes their data
will be processed and by whom. The competence and limits for every data processing operation
should be clearly defined, leading to the foreseeable arrangements of relations between and
among everyone involved in data processing within the network of power, but also between the
network of power and those affected by its joint surveillance capacities. Finally, the requirement
of legitimacy should make the legislator equip the AML/CFT laws with safeguards, which will not
be a simple checklist of formalities but safeguards which can effectively contribute to safeguarding
individuals against possible abuse of joint public-private power.
_
In de afgelopen decennia zagen we een proces van verstrengeling van staats- en niet-statelijke
surveillancecapaciteiten en een geleidelijke spreiding van de verantwoordelijkheid voor
misdaadbestrijding naar spelers die buiten de strafrecht keten opereren. Hand in hand met
technologische ontwikkelingen en een toename van de hoeveelheid informatie, inclusief
persoonsgegevens, die worden verzameld en verwerkt door private partijen, zijn overheden steeds
meer geïnteresseerd geraakt in, zo niet afhankelijk geworden van, de niet-publieke bronnen van
gegevens. De groeiende honger van publieke opsporings- en handhavingsinstanties naar informatie
die is opgeslagen in de digitale dossiers van private partijen heeft democratische wetgevers
gestimuleerd manieren te vinden om het gebruik van de bevoegdheden tot politiesurveillance te
legitimeren, niet exclusief door bevoegde overheidsorganen, maar ook door samenwerkingen met
de private sector.
Het systeem ter bestrijding van het witwassen van geld en de financiering van terrorisme (AML/CFT)
is een van de belangrijkste voorbeelden van het formeel inzetten van niet-overheidsactoren om bij
te dragen aan misdaadbestrijding en veiligheid. De AML/CFT-regelgeving betrekt particuliere
financiële instellingen, met name banken, bij het politiewerk door hen onder andere te verplichten
om de transacties van hun klanten voortdurend te controleren en elk geval van verdenking van
strafbare feiten te melden. Naast het bestaande AML/CFT-rechtssysteem is er onlangs een nieuwe
trend ontstaan. In verschillende landen zijn vrijwillige publiek-private partnerschappen (PPP's) voor
het delen van financiële informatie opgezet (die verder gaan dan het huidige kader), om de
onderzoeks- en opsporingscapaciteit en het politiepotentieel van zowel publieke als private actoren
verder te faciliteren.
Hoewel het uitgebreid delen van informatie, dat een hoeksteen is van het AML/CFT-systeem en,
meer in het algemeen, een kenmerk van moderne publiek-private samenwerking op het gebied van
misdaadbestrijding, volgens voorstanders grote beloften inhoudt, roept het ook veel inhoudelijke
vragen op.
Vanuit het oogpunt van de burgers creëert het betrekken van private spelers bij het politiewerk een
nieuwe realiteit waarin ze niet langer alleen geconfronteerd worden met de macht van de staat,
maar met het hele netwerk van gezamenlijke publiek-private machten. Dit vraagt om een
heroverweging van de traditionele middelen om macht af te bakenen en mogelijk misbruik te
voorkomen, zoals de principes van de rechtsstaat en mensenrechten. In de context van de
uitdagingen die voortvloeien uit publiek-private samenwerking door het delen van informatie, lijken
het recht op privacy en het recht op bescherming van persoonsgegevens de twee meest relevante
rechten te zijn.
Geen van beide zijn absolute rechten, hetgeen betekent dat de uitoefening ervan onder bepaalde
voorwaarden kan worden beperkt. Een van deze voorwaarden is die van legaliteit, welke vereist dat
iedere beperking ‘bij wet voorzien’ moet zijn.
Aangezien publiek-private samenwerking door het delen van persoonsgegevens het recht op
privacy en bescherming van persoonsgegevens in gevaar brengt, onderzoekt deze dissertatie wat
het betekent dat een dergelijke inmenging 'bij wet voorzien' moet zijn en hoe deze voorwaarde
individuen kan beschermen tegen misbruik door een machtsnetwerk.
Dit proefschrift stelt echter dat niet elke wettelijke interventie kan volstaan, omdat de eis van 'bij
wet voorzien' niet alleen moet worden opgevat als een verplichting voor de overheid om wetten
aan te nemen in overeenstemming met formeel correcte democratische procedures. Deze wetten
moeten ook de toets van legitimiteit doorstaan. Op basis van de argumenten van Lon L. Fuller in
zijn baanbrekende boek 'The Morality of Law' en uitgebreide jurisprudentie van het Europees Hof
voor de Rechten van de Mens en het Hof van Justitie van de Europese Unie in surveillance zaken,
zoekt deze dissertatie een antwoord op de volgende onderzoeksvraag: Hoe moet de legitimiteit van
het delen van persoonsgegevens worden geïnterpreteerd om de bescherming van individuen tegen
misbruik van netwerkmacht te waarborgen en hoe kan een dergelijke interpretatie worden
toegepast bij het delen van persoonsgegevens ten behoeve van de bestrijding van witwassen en
terrorismefinanciering?
De analyse in de vijf inhoudelijke hoofdstukken van het boek leidt tot de conclusie dat legitimiteit
moet worden geïnterpreteerd als een kenmerk van het recht, dat meer vereist dan legaliteit.
Legitimiteit vereist dat het recht streeft naar een hoog niveau van juridische uitmuntendheid.
Hierdoor kan de wet de menselijke waardigheid vergroten door respectvolle, wederzijdse relaties
te creëren tussen de wetgever en degenen die aan de wet onderworpen zijn, in plaats van een
opgelegde eenzijdige projectie van het gezag van de wetgever te zijn. Die wederzijdsheid is absoluut
essentieel, gezien de herschikking van de rollen in het traditionele landschap van
misdaadbestrijding.
Deze dissertatie stelt dat het hoge niveau van juridische uitmuntendheid betrekking moet hebben
op de procedurele normatieve drempel voor legaliteit. Dit betekent dat het niet strikt de inhoud
van de wet is die onderworpen is aan de beoordeling op legitimiteit, aangezien die onderworpen
kan zijn aan onderzoek naar andere voorwaarden voor de beperking van mensenrechten, maar ook
of de wet voldoet aan criteria zoals voorspelbaarheid, duidelijkheid en de mogelijkheid van
effectieve uitvoering.
In de context van de verwerking van persoonsgegevens moet legitimiteit worden beschouwd als
een vereiste voor een unanieme rechtsgrondslag voor gegevensverwerking. Aangezien het delen
van gegevens leidt tot het ontstaan van nieuwe robuuste surveillancenetwerken, is het van
bijzonder belang dat de grondslag voor gegevensverwerking niet alleen "bij wet vastgelegd" is,
maar dat een dergelijke grondslag ook "legitiem" is.
De legitimiteit van politiewerk via banken, d.w.z. van het delen van persoonsgegevens op het gebied
van AML/CFT, zou moeten vereisen dat de wet die rechtsgrondslagen vastlegt voor elke soort
verwerking, een hoge mate van voorspelbaarheid van die verwerking garandeert. Betrokkenen
moeten weten wanneer en voor welke doeleinden hun gegevens worden verwerkt en door wie. De
bevoegdheden en grenzen voor elke gegevensverwerking moeten duidelijk worden gedefinieerd,
wat leidt tot voorspelbare afspraken over de relaties met en tussen alle betrokkenen bij
gegevensverwerking binnen het machtsnetwerk, maar ook tussen het machtsnetwerk en degenen
die te maken hebben met zijn gezamenlijke surveillancecapaciteiten. Ten slotte moet de eis van
legitimiteit de wetgever ertoe aanzetten om de AML/CFT-wetten uit te rusten met waarborgen die
geen eenvoudige checklist van formaliteiten zijn, maar die effectief kunnen bijdragen aan de
bescherming van individuen tegen mogelijk misbruik van de gezamenlijke publiek-private macht.
operating outside the criminal justice system. Hand in hand with technological developments and
an increase in the amount of information, including personal data, collected and processed by
private companies, states have become ever more interested in, if not dependent on, the nonpublic sources of data. The growing appetite of public law enforcement authorities for information
stored in the digital dossiers of private actors has incentivised democratic legislators to find ways
of legitimising the use of police surveillance powers not exclusively by competent state bodies but
through alliances with the private sector.
The Anti-Money Laundering and Countering the Financing of Terrorism (AML/CFT) system is one
of the chief examples of formally deputising non-state actors to contribute to crime control and
security. The AML/CFT regulatory regime involves private financial institutions, most notably banks,
in policing by requiring them, i.a., to constantly monitor the transactions of their customers and
report any instances of suspicions of crime. Next to the existing AML/CFT legal system, a new trend
has recently emerged. In several countries, voluntary public-private partnerships (PPPs) for
financial information sharing have been established (beyond the current AML/CFT legal
framework) with a view of further facilitating the investigatory capacities and policing potentials of
both public and private actors.
While the extensive sharing of information, which is a cornerstone of the AML/CFT system and,
more broadly, a characteristic of modern public-private collaboration in the area of crime control,
allegedly comes with great promises, it also invites many pertinent questions.
From the citizens' point of view, the engagement of private actors in policing creates a new reality
in which they are no longer confronted only with the power of the state but with the entire network
of joint public-private powers. This calls for reconsidering the traditional means of circumscribing
power and preventing its potential abuse, such asthe principle of the rule of law and human rights.
In the context of the challenges arising from public-private collaboration through information
sharing, two most relevant rights appear to be the right to privacy and the right to the protection
of personal data.
None of the two are absolute rights, which means that under certain conditions, their exercise can
be limited. One of these conditions is the condition of legality, which demands every limitation to
be ‘provided for by law’.
Considering that public-private collaboration through personal data sharing puts the rights to
privacy and protection of personal data at risk, this thesis explores what it means for such kind of
interference to be ‘provided for by law’ and how this condition can protect individuals against the
abuse of networked power.
The thesis argues that not every legislative intervention can suffice because the requirement of
being ‘provided for by law’ should not be understood merely as an obligation for the state to adopt
laws in compliance with formally correct democratic procedures. These laws must also stand the
test of legitimacy. Drawing on the arguments of Lon L. Fuller presented in his seminal book ‘The
Morality of Law’ and extensive case law of the European Court of Human Rights and the Court of
Justice of the European Union in surveillance cases, the thesis seeks an answer to the following
research question: How shall the legitimacy of personal data sharing be interpreted in order to
ensure protection of individuals against abuses of networked power and how can such
interpretation apply in the sharing of personal data for the purposes of combatting money
laundering and terrorism financing?
The analysis carried out through five substantive chapters of the book leads to the conclusion that
legitimacy must be interpreted as a feature of law, which demands more than legality. Legitimacy
requires that the law strives for a high level of legal excellence. This allows it to enhance human
dignity by creating respectful, reciprocal relationships between the legislator and those subject to
the law rather than be an imposed one-way projection of the legislator’s authority, which is
absolutely essential given the reconfiguration of roles in the traditional crime control landscape.
The thesis contends that the high level of legal excellence should pertain to the procedural
normative threshold for legality. It means that it is not strictly the content of the law that is subject
to the assessment of legitimacy, as this can be subject to examination of other conditions of human
rights’ limitations, but whether the law respects criteria such as foreseeability, clarity, and the
possibility of effective execution.
In the context of the processing of personal data, legitimacy must be considered a demand for a
unanimous legal basis for data processing. Since data sharing leads to the emergence of new robust
surveillance networks, it is of particular importance that the basis for data processing is not only
‘laid down by law’ but that such a basis is also ‘legitimate’.
The legitimacy of policing via banks, i.e. of personal data sharing in the area of the AML/CFT,should
require the law that lays down legal bases for every processing operation to ensure a high level of
predictability of the processing. Data subjects should know when and for what purposes their data
will be processed and by whom. The competence and limits for every data processing operation
should be clearly defined, leading to the foreseeable arrangements of relations between and
among everyone involved in data processing within the network of power, but also between the
network of power and those affected by its joint surveillance capacities. Finally, the requirement
of legitimacy should make the legislator equip the AML/CFT laws with safeguards, which will not
be a simple checklist of formalities but safeguards which can effectively contribute to safeguarding
individuals against possible abuse of joint public-private power.
_
In de afgelopen decennia zagen we een proces van verstrengeling van staats- en niet-statelijke
surveillancecapaciteiten en een geleidelijke spreiding van de verantwoordelijkheid voor
misdaadbestrijding naar spelers die buiten de strafrecht keten opereren. Hand in hand met
technologische ontwikkelingen en een toename van de hoeveelheid informatie, inclusief
persoonsgegevens, die worden verzameld en verwerkt door private partijen, zijn overheden steeds
meer geïnteresseerd geraakt in, zo niet afhankelijk geworden van, de niet-publieke bronnen van
gegevens. De groeiende honger van publieke opsporings- en handhavingsinstanties naar informatie
die is opgeslagen in de digitale dossiers van private partijen heeft democratische wetgevers
gestimuleerd manieren te vinden om het gebruik van de bevoegdheden tot politiesurveillance te
legitimeren, niet exclusief door bevoegde overheidsorganen, maar ook door samenwerkingen met
de private sector.
Het systeem ter bestrijding van het witwassen van geld en de financiering van terrorisme (AML/CFT)
is een van de belangrijkste voorbeelden van het formeel inzetten van niet-overheidsactoren om bij
te dragen aan misdaadbestrijding en veiligheid. De AML/CFT-regelgeving betrekt particuliere
financiële instellingen, met name banken, bij het politiewerk door hen onder andere te verplichten
om de transacties van hun klanten voortdurend te controleren en elk geval van verdenking van
strafbare feiten te melden. Naast het bestaande AML/CFT-rechtssysteem is er onlangs een nieuwe
trend ontstaan. In verschillende landen zijn vrijwillige publiek-private partnerschappen (PPP's) voor
het delen van financiële informatie opgezet (die verder gaan dan het huidige kader), om de
onderzoeks- en opsporingscapaciteit en het politiepotentieel van zowel publieke als private actoren
verder te faciliteren.
Hoewel het uitgebreid delen van informatie, dat een hoeksteen is van het AML/CFT-systeem en,
meer in het algemeen, een kenmerk van moderne publiek-private samenwerking op het gebied van
misdaadbestrijding, volgens voorstanders grote beloften inhoudt, roept het ook veel inhoudelijke
vragen op.
Vanuit het oogpunt van de burgers creëert het betrekken van private spelers bij het politiewerk een
nieuwe realiteit waarin ze niet langer alleen geconfronteerd worden met de macht van de staat,
maar met het hele netwerk van gezamenlijke publiek-private machten. Dit vraagt om een
heroverweging van de traditionele middelen om macht af te bakenen en mogelijk misbruik te
voorkomen, zoals de principes van de rechtsstaat en mensenrechten. In de context van de
uitdagingen die voortvloeien uit publiek-private samenwerking door het delen van informatie, lijken
het recht op privacy en het recht op bescherming van persoonsgegevens de twee meest relevante
rechten te zijn.
Geen van beide zijn absolute rechten, hetgeen betekent dat de uitoefening ervan onder bepaalde
voorwaarden kan worden beperkt. Een van deze voorwaarden is die van legaliteit, welke vereist dat
iedere beperking ‘bij wet voorzien’ moet zijn.
Aangezien publiek-private samenwerking door het delen van persoonsgegevens het recht op
privacy en bescherming van persoonsgegevens in gevaar brengt, onderzoekt deze dissertatie wat
het betekent dat een dergelijke inmenging 'bij wet voorzien' moet zijn en hoe deze voorwaarde
individuen kan beschermen tegen misbruik door een machtsnetwerk.
Dit proefschrift stelt echter dat niet elke wettelijke interventie kan volstaan, omdat de eis van 'bij
wet voorzien' niet alleen moet worden opgevat als een verplichting voor de overheid om wetten
aan te nemen in overeenstemming met formeel correcte democratische procedures. Deze wetten
moeten ook de toets van legitimiteit doorstaan. Op basis van de argumenten van Lon L. Fuller in
zijn baanbrekende boek 'The Morality of Law' en uitgebreide jurisprudentie van het Europees Hof
voor de Rechten van de Mens en het Hof van Justitie van de Europese Unie in surveillance zaken,
zoekt deze dissertatie een antwoord op de volgende onderzoeksvraag: Hoe moet de legitimiteit van
het delen van persoonsgegevens worden geïnterpreteerd om de bescherming van individuen tegen
misbruik van netwerkmacht te waarborgen en hoe kan een dergelijke interpretatie worden
toegepast bij het delen van persoonsgegevens ten behoeve van de bestrijding van witwassen en
terrorismefinanciering?
De analyse in de vijf inhoudelijke hoofdstukken van het boek leidt tot de conclusie dat legitimiteit
moet worden geïnterpreteerd als een kenmerk van het recht, dat meer vereist dan legaliteit.
Legitimiteit vereist dat het recht streeft naar een hoog niveau van juridische uitmuntendheid.
Hierdoor kan de wet de menselijke waardigheid vergroten door respectvolle, wederzijdse relaties
te creëren tussen de wetgever en degenen die aan de wet onderworpen zijn, in plaats van een
opgelegde eenzijdige projectie van het gezag van de wetgever te zijn. Die wederzijdsheid is absoluut
essentieel, gezien de herschikking van de rollen in het traditionele landschap van
misdaadbestrijding.
Deze dissertatie stelt dat het hoge niveau van juridische uitmuntendheid betrekking moet hebben
op de procedurele normatieve drempel voor legaliteit. Dit betekent dat het niet strikt de inhoud
van de wet is die onderworpen is aan de beoordeling op legitimiteit, aangezien die onderworpen
kan zijn aan onderzoek naar andere voorwaarden voor de beperking van mensenrechten, maar ook
of de wet voldoet aan criteria zoals voorspelbaarheid, duidelijkheid en de mogelijkheid van
effectieve uitvoering.
In de context van de verwerking van persoonsgegevens moet legitimiteit worden beschouwd als
een vereiste voor een unanieme rechtsgrondslag voor gegevensverwerking. Aangezien het delen
van gegevens leidt tot het ontstaan van nieuwe robuuste surveillancenetwerken, is het van
bijzonder belang dat de grondslag voor gegevensverwerking niet alleen "bij wet vastgelegd" is,
maar dat een dergelijke grondslag ook "legitiem" is.
De legitimiteit van politiewerk via banken, d.w.z. van het delen van persoonsgegevens op het gebied
van AML/CFT, zou moeten vereisen dat de wet die rechtsgrondslagen vastlegt voor elke soort
verwerking, een hoge mate van voorspelbaarheid van die verwerking garandeert. Betrokkenen
moeten weten wanneer en voor welke doeleinden hun gegevens worden verwerkt en door wie. De
bevoegdheden en grenzen voor elke gegevensverwerking moeten duidelijk worden gedefinieerd,
wat leidt tot voorspelbare afspraken over de relaties met en tussen alle betrokkenen bij
gegevensverwerking binnen het machtsnetwerk, maar ook tussen het machtsnetwerk en degenen
die te maken hebben met zijn gezamenlijke surveillancecapaciteiten. Ten slotte moet de eis van
legitimiteit de wetgever ertoe aanzetten om de AML/CFT-wetten uit te rusten met waarborgen die
geen eenvoudige checklist van formaliteiten zijn, maar die effectief kunnen bijdragen aan de
bescherming van individuen tegen mogelijk misbruik van de gezamenlijke publiek-private macht.
| Original language | English |
|---|---|
| Awarding Institution |
|
| Supervisors/Advisors |
|
| Award date | 19 Jan 2024 |
| Print ISBNs | 9789493353466 |
| Publication status | Published - 19 Jan 2024 |