Onveilige verificatie van de identiteit door een financiële instelling

Financiële instellingen houden er onveilige praktijken op na, die een risico opleveren voor klanten, zowel consumenten als bedrijven en organisaties. Één van die onveilige praktijken is dat financiële instellingen via e-mail vertrouwelijke gegevens opvragen terwijl e-mail onveilig is. Een lezer schreef mij er onlangs over:

Vanmorgen heb ik weer een voorbeeld meegemaakt van (naar mijn mening) ongeoorloofd vragen naar identiteitsbewijzen.
Ik probeerde een account bij *** Verzekeringen aan te maken, om de status van mijn lijfrenteverzekering te bekijken.
Een account aanmaken kan via het ontvangen van codes per post, of via iDIN.
Bij een poging de codes per post te ontvangen bleef ik steken bij het invoeren van een buitenlandse postcode: dit is niet mogelijk.
Bij het telefonisch contact bleek dat ik om mij te identificeren een kopie van mijn paspoort per e-mail zou moeten sturen. Aangezien ik dit dus weiger, kan ik geen account aanmaken bij ***.
Van iDIN weet ik nog te weinig om het te vertrouwen.

Mijn reactie:

Bizar dat om een ID per e-mail wordt gevraagd. Het blijft raar dat banken en andere financiële instellingen geen beveiligde filetransfer mogelijkheid aanbieden.

Wat ik van iDIN weet is dat het veilig zou moeten zijn, bij de Consumentenbond is uitleg te vinden: https://www.consumentenbond.nl/betaalrekening/idin, maar er is ook kritiek (https://kassa.bnnvara.nl/vraag-beantwoord/vraag/geldzaken-recht/idin-is-niet-veilig).  Ik heb het niet getest maar ik ben ook geen techneut.

Bij dit soort diensten zou een onafhankelijke keuringsinstantie moeten zijn, die de IT en organisatie diepgaand keurt.

In ieder geval is iDIN beter dan e-mail.

Als u zin heeft, hoop ik dat u bij *** een klacht indient over het opvragen van een kopie ID per e-mail. Overigens blijft het raar dat zij met een kopie ID werken, aangezien de Wwft en de Wft uitgaan van verificatie van de identiteit, dus het inzien van een origineel en daarna maken van een kopie (of een veilige digitale verificatie).

Iedereen kan andermans ID e-mailen…

 

Vragen aan de lezers
Misschien dat lezers het weten en kunnen reageren:

  1. Waarom is er geen betere overheidsvoorlichting over de onveiligheid van e-mail?
  2. Hoe komt het dat financiële instellingen, zoals banken en verzekeringsmaatschappijen geen veilige bestandsuitwisseling aanbieden terwijl dit op grond van de AVG wel verplicht is?
  3. Is iDIN een veilige methode en zo ja, waar kan dat uit worden afgeleid? Wordt iDIN technisch en organisatorisch geaudit en zo ja, waar zijn de rapportages te vinden?

Ik ben benieuwd naar de reacties.

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/ ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce en getagged met , , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s