Eerder besprak ik dat er banken zijn die zeggen dat zij hun cliënten moeten heridentificeren op grond van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). In verband daarmee is de vraag of banken hun cliënten online mogen identificeren. In Nederland wordt controle van de identiteit ‘verificatie van de identiteit’ genoemd.

Tot 26 juni 2017 stond in de Wwft dat een verscherpt cliëntenonderzoek moet worden uitgevoerd als de cliënt niet fysiek aanwezig is voor de verificatie van de identiteit. Die fysieke aanwezigheid is vanaf 26 juni 2017 niet meer verplicht voor Wwft-plichtigen, maar dan is wel een andere zekere vorm van verificatie van de identiteit vereist.

Wat in ieder geval niet mag: een kopie van paspoort of identiteitsbewijs per e-mail. Ten eerste is dat onveilig. Ten tweede is dan voor de Wwft-plichtige niet zeker of de verificatie juist heeft plaats gevonden.

Online identificatie
Online identificatie is dus in principe toegestaan, onder voorwaarden, want ook met online identificatie kan gefraudeerd worden. Dat betekent dat aan een systeem van online identificatie zeer hoge eisen moeten worden gesteld, om identiteitsfraude te voorkomen. In de praktijk zullen waarschijnlijk alleen grote ondernemingen, zoals banken, aan die hoge eisen kunnen voldoen.

Tip: werk alleen mee aan online identificatie als je er zeker van bent dat de aanbieder betrouwbaar is en zijn IT op orde heeft.

Meer informatie:

Bankentoezichthouder DNB schrijft over dit onderwerp het volgende in de leidraad Wwft/Sw:

4.9.1 Niet fysieke aanwezigheid cliënt

Tot 25 juli 2018 werd in artikel 8 Wwft verscherpt cliëntenonderzoek vereist in het geval van niet fysieke aanwezigheid van de cliënt bij de identificatie en verificatie van diens identiteit. Het risico van niet fysieke aanwezigheid is nu opgenomen in bijlage III bij de richtlijn als een van de hoog-risicofactoren. Artikel 8 Wwft verwijst naar deze bijlage. Het resultaat van deze wijziging is dat instellingen op basis van een risicogebaseerde benadering bepalen welke maatregelen worden genomen die het hogere risico van niet fysieke aanwezigheid compenseren. Hierbij staat voorop dat instellingen géén zakelijke relatie aangaan of transacties uitvoeren indien het cliëntenonderzoek niet is afgerond ingevolge artikel 3, 5 en 8 Wwft. Benadrukt wordt dat de maatregelen die worden genomen indien de cliënt niet fysiek aanwezig is op grond van artikel 8 komen bovenop de maatregelen die op grond van artikel 3 worden genomen. Niet fysieke-aanwezigheid van de cliënt en het toepassen van innovatieve technieken worden in bijlage III als hoog-risicofactoren genoemd. Dat cliënten op afstand geaccepteerd zijn door het toepassen innovatieve technieken betekent niet dat deze cliënten per definitie een hoge risicoclassificatie meekrijgen na de acceptatie (zie onderdeel 3.4).

Een instelling moet vaststellen of de opgegeven identiteit daadwerkelijk overeenkomt met de identiteit van de persoon die zich heeft aangediend. Instellingen zullen dus moeten kunnen vaststellen dat het identiteitsdocument hoort bij de persoon die zich niet fysiek heeft aangediend. Immers, instellingen moeten weten met wie zij zaken doen. Het zal daarom ook niet voldoende zijn te beschikken over twee identiteitsbewijzen waarvan niet vaststaan dat deze daadwerkelijk horen bij de potentiële cliënt. Er zullen meerdere onafhankelijke en betrouwbare bronnen dienen te worden geraadpleegd. Een instelling zal een inschatting maken welke bronnen daadwerkelijk onafhankelijk en betrouwbaar zijn. De wijze van totstandkoming van de bronnen is daarbij belangrijk. Ook is belangrijk in hoeverre de gegevens van de betreffende bron geverifieerd zijn. Tot slot beoordeelt de instelling de overgelegde documenten en andere bronnen op echtheid en houdt rekening met het risico op vervalsingen en pogingen tot misleiding.

Een instelling kan ook innovatieve technologieën toepassen om het (verscherpte) cliëntenonderzoek in te richten, zolang het hogere risico van de niet fysieke aanwezigheid van de cliënt gemitigeerd wordt. De instelling kan hiertoe nieuwe processen bedenken voor het inrichten van de identificatie en verificatie van de cliënt. Denk hier bijvoorbeeld aan (een combinatie van) video-identificatie en verificatie, het uitlezen van de chip op het identiteitsdocument, het toepassen van een liveness-check en het gebruik van een eID-middel met een adequaat betrouwbaarheidsniveau. Hoe dit proces er precies uitziet, bepaalt de instelling zelf op een risico gebaseerde wijze met in achtneming van de verplichtingen opgenomen in artikel 3, 5 en 8 Wwft – de vastlegging en regelmatige herziening is hierbij van belang. Hierbij wordt opgemerkt dat het toepassen van nieuwe technologieën wordt genoemd als hoog-risicofactor in bijlage III van de vierde anti-witwasrichtlijn. Op 23 januari 2018 heeft de European Banking Authority in samenwerking met de andere European Supervisory Authorities (ESMA, EIOPA) een opinie over het toepassen van innovatie t.a.v. het cliëntenonderzoek gegeven.48 Deze opinie biedt kaders voor het toepassen van innovatie in het ‘Customer Due Diligence proces’ door instellingen.

Bij het toepassen van innovatieve technologieën houden instellingen in ieder geval rekening met de volgende aspecten:

* whether or not firms have appropriate technical skills to oversee the development and proper implementation of innovative solutions, particularly where these solution are developed or used by a third party (where reliance is placed on such third party in line with Article 25 of Directive (EU) 2015/849) or an external provider;

* whether or not the senior management and the compliance officer have appropriate understanding of the innovative solution; and

* whether or not firms have proper contingency plans in place.