Heridentificatie bij financiële instellingen | Radar

Het onderwerp heridentificatie door financiële instellingen volg ik met grote aandacht. Onder meer heb ik uitgelegd waarom heridentificatie niet nodig is op grond van de witwasbestrijdingswet Wwft, al doen financiële instellingen het voorkomen dat dit anders is.

Artikel Radar
Er lijkt zich een nieuwe ontwikkeling voor te doen, zo leid ik af uit een bij Radar verschenen bericht: Is de identificatie bij ICS verplicht en veilig voor bestaande klanten?

In dat bericht staat dat de Autoriteit Persoonsgegevens (AP) zich over de problematiek zou hebben uitgelaten. Een vindplaats van een uiting van de AP staat er niet bij en ook op de site van de AP is niets te vinden.

In het artikel wordt aangegeven dat volgens de AP de handelswijze van ICS juist zou zijn, omdat ICS haar cliënten moet identificeren. Dat klopt, maar dat is alleen aan de orde bij de aanvang van de zakelijke relatie. Daarna zou eventueel gevraagd kunnen worden om te identificeren maar is geen reden voor kopieën van identiteitsbewijzen, tenzij er een wettelijke grondslag is. De AP wordt geciteerd:

‘Volgens de Algemene verordening gegevensbescherming (AVG) moeten organisaties ervoor zorgen dat de persoonsgegevens die zij verwerken juist zijn. En dat zij de gegevens actualiseren als dat nodig is. In de AVG heet dit het juistheidsbeginsel.’

Dat lijkt me hier niet aan de orde, omdat een financiële instelling, zeker banken, het transactieverkeer van al hun klanten in detail kunnen volgen. Verder zijn er tussentijds vaak ook contacten waarin de klant de identiteit bevestigt.

Financiële instellingen beroepen zich bij heridentificatie op de Wwft als wettelijke grondslag. De beoordeling dient aan de hand van die wet plaats te vinden.

Juridisch antwoord van een bank
Inmiddels heb ik over dit onderwerp gecorrespondeerd met de functionaris gegevensbescherming van een van mijn banken en eindelijk een juridisch antwoord gekregen, dat ik deels kan volgen. Bij deze bank heb ik een spaarrekening en heb ik mij destijds geïdentificeerd door middel van ‘afgeleide identificatie’, namelijk door een bedrag vanaf een gewone bankrekening bij een andere bank over te maken op de nieuwe spaarrekening. Dit was destijds op grond van de Wwft een geldige vorm van identificatie.

De bank schreef mij dat ik mij weliswaar bij het openen van de bankrekening geldig heb geïdentificeerd door de afgeleide identificatie, maar dat de Wwft nu in artikel 33 lid 2 sub a onder 1 juncto lid 3 de eis zou stellen dat een bank bepaalde persoonsgegevens registreert, waaronder het nummer van het identificatiebewijs, waarmee de verificatie van de identiteit heeft plaats gevonden. Op grond van artikel 33, zo stelt de bank, zou zij alsnog het identiteitsbewijs moeten inzien en kopiëren [*].

Deze bank schrijft dat het alsnog identificeren gebaseerd zou zijn op een aanwijzing van De Nederlandsche Bank (DNB). Deze aanwijzing is helaas niet openbaar gemaakt, zodat de juridische juistheid van de aanwijzing niet getoetst kan worden.

De bank schrijft:

In 2018 heeft DNB een sectorbreed onderzoek verricht (…) DNB heeft (…) Bank een formele aanwijzing gegeven om de tekortkomingen in de naleving van de Wwft, alsook de Wft, te verhelpen.

Ons verzoek om een kopie ID op te sturen, is een van de maatregelen die wij in dit kader nemen.

Mij lijkt dat de bank geen enkele reden heeft om te twijfelen aan mijn identiteit en dat de naleving van de Wwft andere verplichtingen inhoudt dan een kopie van een identiteitsbewijs opvragen. Kennelijk is DNB een andere mening toegedaan en vinden zij dat er altijd een kopie van een identiteitsbewijs in de administratie van de bank moet zitten.

De AVG verplicht tot dataminimalisatie, het zo min mogelijk bewaren van onnodige gegevens, zeker als dat gegevens zijn (zoals een identiteitsbewijs, ‘ID’) die bij diefstal en dergelijke risico opleveren voor de betrokkene.

Juridische grondslag?
Dat is een standpunt waar ik nog wel een juridische noot over te kraken heb:

[1] Alleen bij het aangaan van de zakelijke relatie
Identificatie (ofwel ‘verificatie van de identiteit’) vindt op grond van de Wwft bij het aangaan van de zakelijke relatie plaats volgens de toen geldende regels. Nog steeds staat in de Wwft dat identificatie bij het aangaan van de relatie plaats vindt (artikel 3 lid 5, artikel 3 lid 2 sub a) en is er geen ander identificatiemoment, uitzonderingen daargelaten (artikel 4 leden 3 tot en met 6).

Volgens mijn bank zou het huidige artikel 33 lid 2 sub a. niet alleen gelden voor nieuwe klanten maar ook voor oude. Dat gaat er bij mij niet in, nu deze bepaling is gekoppeld aan het aangaan van de zakelijke relatie. Bij een bankrekening is dat: het openen van een nieuwe bankrekening.

Ook praktisch is er geen reden waarom een financiële instelling om identificatie zou vragen (tenzij er reden zijn om daar aan te twijfelen); daarmee wordt geen witwasbestrijdingsbelang gediend, zoals de banken en DNB weten.

Voor zover ik weet (nog na te kijken) is er geen overgangsrechtelijke bepaling in een Wwft-wijzigingswet waar dit op gebaseerd kan worden.

Mijn conclusie: het is bureaucratie voor de Bühne, waarvoor een grondslag ontbreekt, terwijl er wel cybersecurity risico’s voor de rekeninghouders aan verbonden zijn.

[2] De Wwft verplicht niet tot een kopie-ID
Artikel 33 Wwft schrijft niet voor dat er een kopie van een ID wordt gemaakt. Er staat slechts dat documenten en gegevens worden vastgelegd en dat het is toegestaan om een kopie van een ID in de administratie op te nemen (dat is de AVG-grondslag). Dit is echter niet verplicht.

In artikel 33 lid 2 sub a wordt gesproken over [1°.] de gegevens van de persoon (de geslachtsnaam, de voornamen, de geboortedatum, het adres en de woonplaats) “of een afschrift van het document dat een persoonidentificerend nummer bevat” en over [2°.] “de aard, het nummer en de datum en plaats van uitgifte van het document met behulp waarvan de identiteit is geverifieerd“. Dat betekent dat een kopie ID niet verplicht is en het noteren van de voorgeschreven gegevens volstaat.

Dientengevolg moeten Wwft-plichtigen aan hun klanten de keuze geven tussen hetzij inzage en het noteren van de gegevens als bedoeld in artikel 33 lid 2 sub a Wwft, of het maken van een kopie van het ID. Door die keuze niet te geven handelt de Wwft-plichtige in strijd met de AVG.

[3] De verificatie van de identiteit wordt onjuist uitgevoerd, soms zelfs op onveilige wijze
Opvallend is dat banken de verificatie vaak op onveilige wijze uitvoeren, bijvoorbeeld door het per post laten opsturen van een kopie van het ID. Daarbij stellen banken soms de eis dat de pasfoto zichtbaar moet zijn.

Ten eerste is het opsturen per post of per mail van een kopie-ID geen geldige wijze van verificatie, aangezien de bank niet weet of het een niet-gestolen kopie is. Er is maar één manier waarop verificatie geldig kan plaats vinden, dat is door de persoon en het ID te zien en daarna – als toestemming wordt gegeven – een kopie van het ID te maken.

Ten tweede dragen banken daarmee bij aan het ‘gewoon’ zijn van het opsturen van een kopie.

Ten derde is het opsturen van een kopie per e-mail onveilig omdat e-mail onderweg gelezen kan worden. Per post is eveneens niet fijn en biedt het identiteitsfraudeurs kansen.

Mijn bank schreef in mijn reactie op mijn kritiek op het kopie ID met pasfoto dat ik per post zou moeten opsturen, dat de pasfoto er aan zou bijdragen dat de bank zeker is van de verificatie. Mij lijkt dat de bank die verificatie nog steeds niet juist uitvoert, aangezien er nu eenmaal veel gestolen kopie-ID’s in omloop zijn, ook met pasfoto.

Deze bank vroeg om het per post opsturen van het kopie-ID, maar gaf naar aanleiding van mijn kritiek toe dat zij een meer veilige mogelijkheid hadden moeten bieden. Pas in de brief wordt melding gemaakt van een beveiligd webportaal en wordt aangegeven dat men de algemene werkwijze zal gaan aanpassen.

[4] Niet-voldoening aan de informatieplicht van de AVG
Financiële instellingen zijn erg zuinig met het voldoen aan hun informatieplicht op grond van de AVG (artikelen 12 en 13). Ik kan volgen dat de mededelingen aan de gemiddelde consument summier zijn, maar ik ben van mening dat in de eerste communicatie ook moet worden verwezen naar een meer uitvoerige uiteenzetting (bijvoorbeeld een pagina op de site), waarin alles netjes juridisch wordt uitgelegd, zoals:

  • De verwerkingsgrondslag.
  • De verwerkingsdoeleinden.
  • Meedelen van de gegevens van de functionaris voor gegevensbescherming.

Tot slot
Wat mij betreft is hier het laatste woord nog niet over gesproken. Ik ga broeden op een reactie aan mijn bank.

[*] Overigens is mijn indruk dat er ook banken zijn die identiteitsbewijzen opvragen bij klanten, die zich wel in persoon hebben geïdentificeerd bij het openen van de rekeningen. Verder hoor ik uit de financiële sector geluiden dat er mensen zijn die denken dat zij iedere vijf jaar een verse kopie-ID moeten opvragen, terwijl daar geen juridische grondslag voor is.

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/ ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce en getagged met , , , , , , , , . Maak dit favoriet permalink.

Een reactie op Heridentificatie bij financiële instellingen | Radar

  1. Robert Jan van Aken schreef:

    Ik wilde reageren bij jou blog, maar kennelijk pakt de site mijn website niet…..
    https://ellentimmer.com/2021/04/21/heridentificatie-2/

    Art 33 lid 2 sub a onder 1 betreft de non-UBO’s waarbij inderdaad kan worden volstaan met het registreren van de gegevens op het document. Echter in art 33 lid 2 sub b onder 2 wordt gesteld: “de gegevens en documenten die zijn vergaard op basis van de redelijke maatregelen die zijn genomen om de identiteit van de uiteindelijk belanghebbende te verifiëren”. Daar is geen keuze mogelijkheid geboden door de wetgever. Het is en-en. Het vastleggen van een kopie paspoort/rijbewijs lijkt me dus wel verplicht (bij UBO’s althans). De bank slaat m.i. dus de plank niet volledig mis op dit ene punt.

    Hoe zie jij dat?
    Deze discussie heb ik namelijk ook met andere advocaten

    Mijn reactie:

    Verificatie:
    • Voor ubo’s gelden geen gedetailleerde regels. Daar is kopie ID niet toegestaan, want ‘redelijke maatregelen’ betekent niet dat kopie ID mag worden gemaakt. Voor zover DNB c.s. dat menen is dat een onjuiste interpretatie van de wet en een slechte gewoonte die al jarenlang bestaat.
    • Voor de cliënt-natuurlijke persoon is er een keuze, zoals beschreven in mijn blog. Die keuze hoort op grond van de AVG aan de natuurlijke persoon te worden voorgelegd.

    NB Inhoudelijke reacties op het blog en op de reacties zijn van harte welkom.

Laat een reactie achter op Ellen Timmer, advocaat ondernemingsrecht @Pellicaan Reactie annuleren

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s