Mag een bank om heridentificatie vragen? | vraag & antwoord Wwft

Aangezien er op dit moment op internet vele onjuiste en onvolledige berichten zijn inzake ‘heridentificatie’ van natuurlijke personen als cliënten van financiële instellingen [1], leek het me goed alles op een rijtje te zetten.

[A] Wat is de achtergrond van de identificatieplicht?
Financiële instellingen moeten de identiteit van hun cliënten identificeren op grond van het privaatrecht en op grond van de Nederlandse criminaliteitsbestrijdingswet, de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft).
Die identificatie is een onderdeel van het cliëntenonderzoek dat de instellingen op grond van de Wwft moeten uitvoeren. Op grond van de Wwft moeten financiële instelling nagaan of hun cliënten zich met criminele activiteiten bezig houden, als dat het geval lijkt te zijn moeten zij een ‘ongebruikelijke transactie’ (transactie die wijst op criminaliteit) melden bij FIU-Nederland. Om die reden stellen financiële instellingen vragen over de herkomst van het vermogen van hun cliënten.

[B] Wanneer moet een financiële instelling zijn cliënten identificeren (de identiteit verifiëren)?
Op grond van het privaatrecht moet een financiële instelling als er een overeenkomst wordt gesloten, bijvoorbeeld inzake het bieden van een bankrekening, nagaan of de persoon degene is die hij/zij zegt te zijn. Dat kan gebeuren aan de hand van een geldig identiteitsbewijs zoals rijbewijs, identiteitskaart of paspoort. De identificatie vindt plaats bij aanvang van de relatie om er zeker van te zijn dat de overeenkomst met de juiste persoon wordt aangegaan.

Aanvullend daarop vereist Wwft dat een cliënt wordt geïdentificeerd (in de Wwft heet dit ‘verificatie’) vóór de aanvang van de dienstverlening. DNB schrijft in de leidraad Wwft in paragraaf 4.2.5 dat de verificatie in beginsel moet zijn afgerond voordat een zakelijke relatie ontstaat en de dienstverlening aanvangt. Bij het openen van een rekening kan de verificatie later plaats vinden op voorwaarde dat de rekening niet gebruikt kan worden. Ook hier vindt identificatie plaats door middel van een geldig identiteitsbewijs. Uitgangspunt is dat de financiële instelling het originele identiteitsbewijs inziet en daarvan een kopie maakt (dat mag op grond van de Wwft). Dit kan worden vervangen door een digitaal zekere identificatie-/verificatievorm.

Nadat een geldige identificatie heeft plaats gevonden, hoeft de financiële instelling niet meer opnieuw te identificeren op grond van de Wwft (er kunnen wel andere redenen zijn). De Wwft verplicht niet tot heridentificatie, behalve in bijzondere omstandigheden (bijvoorbeeld als de bank twijfelt aan de juistheid of volledigheid van eerder van de cliënt verkregen gegevens) [2].

[C] Welke identititeitsdocumenten mogen gebruik worden?
In Nederland wonende natuurlijke personen mogen zich identificeren met onder meer een Nederlands rijbewijs, Nederlands identiteitsbewijs en Nederlands paspoort [3].
Niet is vereist dat het identiteitsdocument een chip bevat die met een NFC-lezer kan worden uitgelezen, zie daarover hierna.

[D] Mag gevraagd worden om een kopie identiteitsbewijs per e-mail of per post?
De Wwft staat niet toe dat wordt geïdentificeerd door middel van verzending van een kopie van een identiteitsbewijs per e-mail. Ten eerste omdat dan voor de financiële instelling niet zeker is dat de kopie echt van de persoon afkomstig is, en ten tweede omdat e-mail zeer onveilig is en onderweg kan worden gelezen & veranderd. Lees dit over de onveiligheid van e-mail.
Bij verzending per post is evenmin zeker dat de kopie echt van de persoon afkomstig is.

[E] Welke identiteitsgegevens moeten financiële instellingen vastleggen?
Van natuurlijke personen die een bankrekening aanhouden moet het volgende worden geregistreerd [4]:

# de geslachtsnaam, de voornamen, de geboortedatum en het adres en de woonplaats;
# een afschrift van het document dat een persoonidentificerend nummer bevat en aan de hand waarvan de verificatie van de identiteit heeft plaatsgevonden; dan wel de aard, het nummer en de datum en plaats van uitgifte van het document met behulp waarvan de identiteit is geverifieerd.

[F] Moet een bank heridentificeren als voorheen van ‘afgeleide identificatie’ gebruik werd gemaakt?
Voorheen was er een speciale bepaling in de Wwft [5] die het mogelijk maakte dat dat een niet fysiek aanwezige cliënt wordt geïdentificeerd aan de hand van een eerste betaling die met de zakelijke relatie of transactie verband houdt, die wordt gedaan ten gunste of ten laste van een rekening van die cliënt bij een bank met zetel in een EU-lidstaat of in een door de Minister van Financiën aangewezen staat, die beschikt over een vergunning om in die lidstaat onderscheidenlijk die staat haar bedrijf te mogen uitoefenen. Van deze mogelijkheid werd veelvuldig door banken gebruik gemaakt.

Tegenwoordig staat dit niet meer in de Wwft. DNB bespreekt de wijziging in paragraaf 4.9.1 van de leidraad, “Niet fysieke aanwezigheid cliënt“. Daarin wordt gezegd dat banken vrij zijn in de wijze waarop zij de identiteit van de niet-fysiek aanwezige cliënt verifiëren. Daar kunnen bepaalde extra maatregelen voor nodig zijn.

DNB verplicht de banken niet dat cliënten die in het verleden ‘afgeleid’ geïdentificeerd zijn, opnieuw worden geïdentificeerd. Daar zal ook meestal geen reden zijn gelet op wat de bank van de desbetreffende cliënt weet vanwege bijvoorbeeld het betalingsverkeer. Er is alleen reden voor heridentificatie als de bank twijfelt aan de juistheid of volledigheid van eerder van de cliënt verkregen gegevens of bij andere bijzondere omstandigheden (zie ook hiervoor onder [B], laatste alinea).

Voor zover ik heb kunnen nagaan is er geen sprake van een verplichting om via afgeleide identificatie geverifieerde cliënten opnieuw te verifiëren (anders dan Knab in deze pdf zegt op pagina 3, punt 4, tweede alinea). Wat er in de derde alinea door Knab wordt geschreven heeft niets met verificatie van de identiteit te maken, maar met het overige cliëntenonderzoek dat Knab moet uitvoeren. Het citaat dat Knab aan het slot van punt 4 vermeldt, heeft geen betrekking op heridentificatie, maar op de verificatie van de identiteit bij het aangaan van de relatie.

[G] Mag een bank de rekening sluiten als niet aan heridentificatie wordt meegewerkt?
Banken dreigen hun klanten met sluiting van de rekening als niet aan heridentificatie wordt meegewerkt en verstrekken onvolledige informatie. Zo veegt Knab in een informatie-pdf de identificatie bij aanvang van de relatie en de heridentificatie op één hoop. Verder wordt door Knab de rest van het cliëntenonderzoek er ook nog bij gehaald. Ten onrechte stelt Knab dat de wet tot heridentificatie verplicht.

NB Het niet meewerken aan het overige cliëntenonderzoek (dat de bank periodiek moet verrichten) hoort er toe te leiden dat de bank afscheid neemt van een cliënt. Die opmerking van Knab is juist.

Het gaat veel te ver om de rekening van een bestaande cliënt te blokkeren en te sluiten, als de cliënt al eerder is geïdentificeerd en de bank geen reden heeft om te veronderstellen dat er iets niet klopt met de identiteit.

Het vervelende in dit soort situaties is dat er geen laagdrempelige methode is om de bank ter verantwoording te roepen en dat het belang vaak niet groot genoeg is. In de praktijk heeft dit tot gevolg dat banken hun gang kunnen gaan. Het zou goed zijn als consumentenorganisaties zich zouden inspannen voor klanten van banken die geen geavanceerde apparatuur hebben en als de organisaties de uitlatingen van de banken over hun juridische verplichtingen goed zouden verifiëren.

[G] Mag de bank eisen dat wordt geïdentificeerd door middel van een smartphone of tablet met een NFC-lezer?
Er zijn banken die eisen van hun klanten dat zij zich met een apparaat met een NFC-lezer identificeren.

Lees bijvoorbeeld de pdf van Knab. Zij zeggen dat identificatie in persoon niet mogelijk is omdat zij geen fysieke banklocaties hebben. Daar komt bij dat Knab het rijbewijs als identificatiemiddel weigert, terwijl de Wwft dat identificatiemiddel gewoon toestaat. Het klopt dat Knab bepaalde gegevens nodig heeft die niet op het rijbewijs staan (bijvoorbeeld de volledige voornamen, op een rijbewijs staat alleen de eerste voornaam en daarna de eerste letters van de achternaam), maar voor andere identiteitsbewijzen geldt ook dat niet alle vereiste gegevens op het identiteitsbewijs staan. Zo staat er op een identiteitskaart geen adres.

Door identificatie met een apparaat met een NFC-lezer te eisen en geen rijbewijs te accepteren, stelt de Knab eisen die verder gaan dan wat de Wwft eist, want op grond van de Wwft is ook fysieke verificatie van de identiteit toegestaan. Bij niet-fysieke identificatie is meer nodig, zie onder [F], de vraag is dan of een bank eisen mag stellen die voor een deel van de burgers niet haalbaar zijn.

Op dit moment is een veilige elektronische identificatie alleen mogelijk met iOS-apparaten en android-apparaten met een NFC-lezer. Bij VNG [6] las ik dat android-apparaten met de versie 6.0 of hoger en iphones model 7 of hoger (met ten minste iOS versie 13.2) een NFC-lezer hebben. Met een NFC-lezer kunnen Nederlandse rijbewijzen uitgegeven na 14 november 2014 en Nederlandse identiteitskaarten en paspoorten worden uitgelezen. De NFC-lezers kan gegevens uitlezen van de chip in het identiteitsbewijs.

Gevolg van de door Knab andere banken gestelde eis is dat alleen mensen die over een nieuwe smartphone of tablet met het juiste besturingssysteem en een identiteitsbewijs met uitleesbare chip zich elektronisch kunnen identificeren bij deze bank. Dat levert klachten  op [7]. Opvallend is dat in de Knab-pdf niet wordt gerept over alternatieve manieren van verificatie van de identiteit. Volgens omroep MAX [8] biedt Knab alternatieven, zij schrijven dat mensen naar het kantoor in Amsterdam kunnen komen om daar met een telefoon met NFC-lezer zich te identificeren. Maar dat lijkt uitstel van executie omdat blijkens het artikel de klanten van Knab gebruik moeten maken van de app met NFC-functie.

Het lijkt er op dat een aantal banken hun klanten er toe dwingen een apparaat met NFC-lezer en een identiteitsbewijs met afleesbare chip te gebruiken. Dat roept bij mij vragen op. Is hier een ontwikkeling gaande waarbij banken om kostenbesparing te bereiken kiezen voor bankrekeningen met digitale methoden die alleen voor gevorderde gebruikers bereikbaar zijn? Is dat wel wenselijk voor een basisbehoefte (als een bankrekening is), ook al wordt dat geleverd door private ondernemingen?

Tegenwicht gewenst
Tot nu toe lijkt er geen overheidstoezichthouder of consumentenorganisatie te zijn, die zich bezig houdt met de vraag of banken wel correct omgaan met hun maatschappelijke taak, het bieden van bankrekeningen aan iedere burger en de toegankelijkheid van het financiële systeem. Daartoe kan ook worden gerekend dat bankrekeningen technisch bereikbaar moeten zijn voor alle burgers en dat banken hun Wwft-taken op zorgvuldige en proportionele wijze uitvoeren.

De Nederlandsche Bank houdt toezicht op financiële instellingen als het om de witwasbestrijding gaat, maar een behoorlijke bejegening van de klanten hoort niet bij hun takenpakket. Hoewel de Autoriteit Financiële Markten (AFM) gedragstoezicht op banken houdt [9], heb ik nog niet kunnen ontdekken dat de AFM zich met de toegankelijkheid van het banksysteem bezig houdt en met een zorgvuldige bejegening van cliënten als het om de witwasbestrijdingsverplichtingen gaat.

Het is tijd dat er kritisch tegenwicht voor de banken komt, zeker als het bankrekeningen betreft.

Noten

[1] Diverse berichten uit onafhankelijke bron zitten er naast, zoals de Consumentenbond, die schrijft dat banken voor het einde van het jaar alle klanten geheridentificeerd zouden moeten hebben. Geen idee waar dat op gebaseerd is.
Ook het artikel bij omroep MAX is niet correct, het lijkt gebaseerd te zijn op de informatie van Knab en lijkt niet door een Wwft-specialist gecheckt. Zo is vraag 1 niet juist als het om heridentificatie gaat (het klopt wel als het om het openen van een bankrekening gaat). Het verifiëren van de identiteit en het overige cliëntenonderzoek worden door elkaar gehaald. Ook Radar begrijpt niet veel van de Wwft, als ze in een artikel van 7 september jl. schrijven dat banken ‘sinds kort’ verplicht zouden zijn hun klanten te identificeren, op grond van de Wwft “die geldt sinds juli 2020“.

[2] Zie over het tijdstip van de verificatie artikel 4 lid 1 Wwft. Het is overigens niet de eerste keer dat banken ‘heridentificeren’. Lees dit bericht van Vrijbit, IBAN aanleiding voor nieuwe problemen met identificatieplicht banken, 3 januari 2013. Onder meer:

Tussen 2005 en 2008 voerden de grote banken in Nederland, zonder wettelijke basis, een grootscheepse her-identificatieactie waarbij miljoenen klanten een oproep kregen om zich opnieuw te identificeren bij de bank en daar een kopie of scan van hun geldige identiteitsbewijs te laten maken.

Vanaf april 2011 begon de Rabobank opnieuw duizenden klanten aan te schrijven en telefonisch op te roepen dat men verplicht zou zijn om zich aan de balie opnieuw te komen laten identificeren met een geldig paspoort of ID-bewijs. Hierbij bleek het te gaan om een interne Rabo actie om de eigen administratie op orde te brengen.

Vanaf zomer 2012 zijn de banken gestart met de uitgifte van betaalpassen met daarop het nieuw in te voeren internationale IBAN rekeningnummer. En met de uitgifte van deze nieuwe betaalpassen ontstaan opnieuw problemen betreffende de identificatieplicht. (…)

Opnieuw worden Stichting Meldpunt Misbruik ID-plicht en Burgerrechtenvereniging Vrijbit geconfronteerd met vragen over de rechtmatigheid hiervan en advies gevraagd door mensen die geen geldig identiteitsbewijs willen of kunnen tonen. Bijvoorbeeld omdat de overheid hen al jaren een paspoort of ID-kaart weigert te verstrekken omdat ze bezwaar maken tegen het moeten afgeven van hun biometrische kenmerken (vingerafdruk en scan van gezichtsopname).

In dit geval betekent het dat enerzijds de banken het wettelijk recht hebben om bij de afgifte of activering van een bankpas aan de hand van een geldig identiteitsbewijs te verifiëren of ze de dienst wel aan de juiste persoon verlenen. Maar dat laat onverlet dat de bank, in geval het niet om nieuwe klanten gaat geen wettelijke plicht hebben om een verlopen identiteitsbewijs als legitimatie te weigeren. Iedere bank heeft volgens de toezichthouder de Nederlandse Bank een eigen beoordelingsruimte, mits maar duidelijk is dat men ervoor zorgt dat er geen falsificaties plaatsvinden waarbij mensen zich voor een ander uitgeven.

Dat betekent dus, net als in eerdere kwesties, dat het een bank, of een semi-zelfstandig bankrayon, vrij staat om te bepalen dat in individuele gevallen van een klant ook met een verlopen of alternatief identificatiebewijs onomstotelijk de juiste identiteit kan worden vastgesteld.

DNB was niet bereid mijn vragen over heridentificatie te beantwoorden.

[3] De AFM geeft bij de vraag “Welke verificatiemiddelen zijn toegestaan?een overzicht dat van toepassing is op alle financiële instellingen. Of lees het artikel van de Uitvoeringsregeling Wet ter voorkoming van witwassen en financieren van terrorisme.

[4] Zie het overzicht bij de AFM, dat ook andere situaties bespreekt.

Overigens lijkt de tekst van artikel 33 lid 2 Wwft waarop is gebaseerd welke gegevens inzake natuurlijke personen (niet zijnde uiteindelijk belanghebbenden) een fout te bevatten. Onder 1° wordt gesproken over “de geslachtsnaam, de voornamen, de geboortedatum, het adres en de woonplaats, dan wel de plaats van vestiging van de cliënt alsmede van degene die namens die natuurlijke persoon optreedt, of een afschrift van het document dat een persoonidentificerend nummer bevat en aan de hand waarvan de verificatie van de identiteit heeft plaatsgevonden” en dan volgt onder 2°: “de aard, het nummer en de datum en plaats van uitgifte van het document met behulp waarvan de identiteit is geverifieerd“. Het onder 2° is niet nodig als aan 1° wordt voldaan. Logischer is dat de Wwft-plichtige de gegevens noteert (de geslachtsnaam, de voornamen, de geboortedatum, het adres en de woonplaats) en een kopie van het identiteitsbewijs maakt, of – in plaats van de kopie ID – de gegevens van het ID noteert.

[5] Artikel 8, tweede lid Wwft, zie met name onderdeel c.:

2. Onverminderd het eerste lid neemt een instelling, indien een cliënt niet fysiek aanwezig is voor identificatie, maatregelen om het hogere risico te compenseren. De instelling kan aan de vorige volzin voldoen indien zij:

a. de identiteit van de cliënt verifieert aan de hand van aanvullende documenten, gegevens of informatie;
b. de overgelegde documenten beoordeelt op echtheid; of
c. waarborgt dat de eerste betaling die met de zakelijke relatie of transactie verband houdt, wordt gedaan ten gunste of ten laste van een rekening van de cliënt bij een bank met zetel in een lidstaat of in een door Onze Minister van Financiën aangewezen staat die beschikt over een vergunning om in die lidstaat onderscheidenlijk die staat haar bedrijf te mogen uitoefenen.

Dit levert een geldige verificatie van de identiteit op, waarvan de geldigheid niet is vervallen door wijziging in de Wwft. Overigens zitten er wel risico’s aan deze verificatie, lees een rapport uit 2015. Over afgeleide identificatie wordt het volgende opgemerkt:

Ook (kleine) online banken die werken met afgeleide identificatie – waarbij een klein bedrag wordt overgemaakt vanaf een bestaande rekening bij een grote Nederlandse bank – lopen een verhoogd risico op identiteitsfraude en hun klanten evenzeer. 

[6] Zie deze link. Het gaat over DigiD maar het deel inzake NFC is hier ook van belang.

[7] Bij Trustpilot wordt veel over Knab geklaagd. Iemand van Knab schrijft dat niet de bedoeling is dat mensen gedwongen worden een nieuw duur toestel te kopen (lekker dat dit niet in de informatie-pdf van Knab staat):

Het is zeker niet onze bedoeling om je te verplichten een nieuwe telefoon te kopen om deze her-identificatie te doorlopen. De Knab app werkt voor telefoons met iOS 11.0 en hoger, of Android 5.0 en hoger. Het is ook niet noodzakelijk om NFC-functionaliteit te hebben, al maakt dit het proces wel eenvoudiger. Zonder NFC, of na drie mislukte pogingen om met NFC de chip in je document te scannen, krijg je een alternatief aangeboden. Op die manier kun je de her-identificatie ook afronden zonder dat je het allernieuwste toestel hebt.

Mosterd na de maaltijd, zou ik zeggen.

Enkele andere vindplaatsen. Over Knab: klachtenkompas. Over ICS: Consumentenbond. Over Aegon: klachtenkompas, Radar, Kassa.

[8] Lees dit bericht, vraag 4.

[9] Op grond van artikel 1:25 lid 1 Wet op het financieel toezicht.

 

Lees op dit blog: alle artikelen over heridentificatie en over witwasbestrijding door banken.

 


Aanvulling 18 september 2020
Noot 1 heb ik aangevuld met een artikel van Radar.

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/ ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, rechtsstaat e.d., ICT, privacy, e-commerce en getagged met , , , , , , , , , , , . Maak dit favoriet permalink.

4 reacties op Mag een bank om heridentificatie vragen? | vraag & antwoord Wwft

  1. Mark Drabbe zegt:

    Beste mevrouw Timmer,
    Uw artikel bevat nuttige en waardevolle informatie voor ons, waarvoor dank. De Consumentenbond krijgt veel vragen over de (her)identificatie door Knab en het verplichte gebruik van de Knab-app hiervoor. Wij hebben hierover een pagina gemaakt voor consumenten: https://www.consumentenbond.nl/betaalrekening/veelgestelde-vragen-heridentificatie-knab. Daarnaast zijn wij met Knab in gesprek over de door ons ontvangen klachten. Knab heeft laten weten dat de deadline van 4 weken niet meer van toepassing is voor klanten die zich niet kunnen of willen identificeren met een smartphone en/of de Knab-app.
    U merkt ook op dat wij ten onrechte schrijven dat banken voor het einde van het jaar alle klanten geheridentificeerd zouden moeten hebben. Dit was inderdaad niet correct en wij hebben deze tekst inmiddels aangepast.

  2. Gea zegt:

    Waarom geen melding bij tuchtrechter banken en mensen wijzen op klachten indienen bij aut persoonsgegevens en afm massaal doen

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s