Advies AFM inzake identificatie bij financiële instellingen

Onlangs publiceerde Autoriteit Financiële Markten informatie over identificatie bij financiële ondernemingen. Het bevat nuttige tips, onder meer de tip om tekst op de kopie van een identiteitsbewijs te zetten:

Om misbruik van identiteitsgegevens te voorkomen, is het verstandig om op de kopie van een identiteitsbewijs te vermelden dat het een kopie is, de datum waarop u de kopie afgeeft, voor welke onderneming de kopie en met welk doel de kopie is gemaakt.

Heel goed is dat gemeld wordt dat de Wwft niet voorschrijft dat een kopie van het identiteitsbewijs nodig is. Het is ook correct als bepaalde gegevens worden overgenomen, waar het bsn niet bijhoort (ten aanzien van bsn geldt een uitzondering voor banken).

Jammer is dat de AFM er niet op attendeert dat identificatie ook om privaatrechtelijke reden nodig is. Een financiële instelling die een overeenkomst sluit hoort er zeker van te zijn wie haar wederpartij is.

Vanwege alle heridentificatie-campagnes (die niet op de Wwft gebaseerd zijn), was het ook goed geweest als vermeld zou zijn dat identificatie maar één keer nodig is, voorafgaand aan het aangaan van de overeenkomst.

Opsturen kopie identiteitsbewijs mag niet van de Wwft
Zeer teleurstellend dat de AFM suggereert dat identificatie via e-mail mag plaats vinden (“maar bij anderen gaat het via e-mail“), terwijl e-mail een volstrekt onveilig communicatiemiddel is en ook een ander een kopie van een identiteitsbewijs kan opsturen. De AFM zou moeten weten dat de Wwft verplicht tot identificatie (verificatie van de identiteit) met voldoende zekerheid, wat betekent dat de Wwft-plichtige (de financiële instelling) het originele identiteitsbewijs dient in te zien of een alternatieve betrouwbare methode moet inzetten. Lees over online identificatie mijn eerdere artikel.

Tot slot
Misschien moet de AFM nog eens bij de Autoriteit Persoonsgegevens langs als het om het kopietje paspoort gaat, en een bezoek aan het Ministerie van Financiën is nuttig om de Wwft-regels rond verificatie van de identiteit nog eens op te frissen.

 

Meer informatie:

De complete tekst van de informatie van AFM luidt:

Hoe moet u zich identificeren bij een financiële onderneming?
De AFM ontvangt regelmatig vragen over de wettelijke regels om witwassen en terrorismefinanciering te voorkomen. Consumenten willen vooral weten op welke manier zij zich moeten identificeren bij financiële ondernemingen. Kan dit alleen met een paspoort of is een rijbewijs ook toegestaan? Verder blijkt dat zij ongerust zijn bij het verstrekken van gegevens via app of e-mail. We lichten de wettelijke regels daarom toe, vooral over de identificatieplicht en het vastleggen van privacygevoelige gegevens.

In de wet is de bestrijding van witwassen en terrorismefinanciering geregeld. Witwassen houdt in dat illegaal verkregen geld legaal wordt gemaakt, zodat de illegale herkomst niet meer zichtbaar is. Er is sprake van terrorismefinanciering als geld wordt gebruikt om terroristische activiteiten mogelijk te maken. In Nederland houdt de AFM toezicht op de naleving van de wettelijke regels bij, onder meer, beleggingsondernemingen en financieel dienstverleners die bemiddelen in levensverzekeringen.

Onderneming moet cliëntenonderzoek uitvoeren
In de wet staat dat een onderneming een cliëntenonderzoek moet uitvoeren voordat zij een zakelijke relatie met die cliënt aangaat of een transactie uitvoert. Dat moet een beleggingsonderneming bijvoorbeeld doen voordat zij een beleggersrekening opent voor een cliënt. Het doel: ervoor zorgen dat een onderneming geen zakelijke relatie aangaat of transactie uitvoert die hun integriteit en die van het financiële stelsel kan schaden.

Identiteit controleren
Een cliëntenonderzoek bestaat onder meer uit het identificeren van de cliënt. Maar een onderneming moet ook bevestigen dat de opgegeven identiteit en werkelijke identiteit hetzelfde zijn. Dat betekent dat de onderneming de gegevens die een cliënt verstrekt (bijvoorbeeld op een online inschrijfformulier), moet controleren.

Om welke documenten mag een onderneming vragen?
Welke identificatiedocumenten mag een onderneming daarvoor gebruiken? Bij een natuurlijk persoon (dus een mens van vlees en bloed) zijn dat: – een geldig paspoort, identiteitskaart of rijbewijs – een geldig rijbewijs uit een lidstaat – reisdocumenten voor vluchtelingen en vreemdelingen – vreemdelingendocumenten

Welke documenten mag een onderneming niet gebruiken?
Komt een document niet van een overheid of rechterlijke instantie of een andere betrouwbare en onafhankelijke bron? Denk aan een studentenpas of een werknemerspas. Dan wordt de wijze van identificatie vaak niet geverifieerd. Een financiële onderneming mag deze documenten daarom niet gebruiken om de identiteit van hun cliënten te controleren.

Meerdere opties, altijd zelfde regels
De AFM kan ondernemingen niet voorschrijven hoe zij de identiteit van klanten verifiëren. Sommige ondernemingen bieden de mogelijkheid om persoonlijk langs te komen op hun kantoor, maar bij anderen gaat het via e-mail of een app. Er zijn dus meerdere mogelijkheden, zolang de identificatie en verificatie daarvan volgens de regels verloopt.
Om misbruik van identiteitsgegevens te voorkomen, is het verstandig om op de kopie van een identiteitsbewijs te vermelden dat het een kopie is, de datum waarop u de kopie afgeeft, voor welke onderneming de kopie en met welk doel de kopie is gemaakt.

En hoe zit het met de privacy van de klant?
Een financiële onderneming moet de gegevens van haar cliënten goed beschermen. In Nederland ziet een andere toezichthouder daarop toe: de Autoriteit Persoonsgegevens (AP). De AP stelt dat een financiële onderneming ook een kopie van het gecontroleerde identiteitsdocument kan vastleggen. Maar dat hoeft niet. De onderneming kan ook alleen bepaalde gegevens op het document overschrijven. Volgens de wet hoeven ondernemingen geen burgerservicenummer vast te leggen.

Wat mag een onderneming doen met de verstrekte persoonsgegevens?
In de wettelijke regels is rekening gehouden met de Europese privacywet, de Algemene Verordening Gegevensbescherming (AVG). In de AVG staat dat een onderneming de persoonsgegevens alleen mag gebruiken voor het doel waarvoor ze verstrekt zijn. Namelijk om te voorkomen dat het financiële stelsel wordt misbruikt voor witwassen en terrorismefinanciering.

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/ ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Financieel recht, onder meer Wft, Wtt, ICT, privacy, e-commerce en getagged met , , , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s