Eerder besteedde ik op dit blog aandacht aan de merkwaardige heridentificatie praktijken van financiële instellingen, opgedragen door DNB en naar mijn mening niet op de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) gebaseerd. De burgers staan in dit onderwerp nu met 0-1 achter, wat komt door een publicatie van de Autoriteit Persoonsgegevens en een niet-bindende uitspraak van financiële geschillenbeslechter Kifid.
Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens publiceerde naar aanleiding van druk van de banken, een bericht waarin het volgende staat:
Mag mijn bank of creditkaartmaatschappij mij vragen om mij opnieuw te identificeren?
Ja, dat mag. Een financiële onderneming, zoals uw bank of creditcardmaatschappij, mag vragen of u zich opnieuw identificeert. Ook al heeft u zich dus al eerder geïdentificeerd.
Financiële ondernemingen moeten er namelijk voor zorgen dat hun klantadministratie klopt. Anders kunnen zij niet voldoen aan de verschillende wettelijke verplichtingen die zij hebben.
Daarnaast staat in de privacywet, de Algemene verordening gegevensbescherming (AVG), dat organisaties ervoor moeten zorgen dat de persoonsgegevens die zij verwerken juist zijn. En dat zij de gegevens actualiseren als dat nodig is. In de AVG heet dit het juistheidsbeginsel.
Dit antwoord is onjuist, omdat in de Wwft om bewijs van de identiteit (verificatie) moet worden gevraagd bij het aangaan van de relatie. Heridentificatie is alleen nodig als aan de identiteit wordt getwijfeld, maar vanwege het type relatie dat een bank met zijn klanten heeft, is dat bij banken zelden aan de orde. Banken beschikken via het betalingsverkeer over zeer veel informatie over hun klanten en hebben ook andere contactmomenten.
Bovendien gaan banken tot heridentificatie over in opdracht van DNB (die niet bereid was om mij de juridische onderbouwing daarvan respectievelijk de opdracht aan de banken te verschaffen) en is niet gebaseerd op de AVG maar op de Wwft.
De Wwft schrijft voor dat het cliëntenonderzoek actueel wordt gehouden, maar dat actueel houden gaat niet over de identiteit (juridisch: ‘de verificatie van de identiteit’), maar om de informatie die een bank nodig heeft om het risicoprofiel van de klant up-to-date te houden.
De Europese bankentoezichthouder EBA omschrijft het in de Nederlandstalige versie van de AML/CFT richtlijnen voor financiële instellingen van maart jl. dat het doel van het actueel houden is dat financiële instellingen:
kunnen zien of het risico dat aan de zakelijke relatie is verbonden, is gewijzigd en om ervoor te zorgen dat de informatie waarop de doorlopende monitoring is gebaseerd juist is
(paragraaf 4.70) en in paragrafen 4.76 tot en met 4.78 staat hetzelfde, onder meer:
het signaleren en verzamelen van informatie over de cliënt waardoor zij te weten kunnen komen of er sprake is van een verandering in het risico dat aan de zakelijke relatie is verbonden. Voorbeelden van informatie die ondernemingen moeten verzamelen, zijn een duidelijke verandering in de herkomst van de geldmiddelen of de eigendomsstructuur van de cliënt, of gedrag dat consequent afwijkt van het gedrag of het transactieprofiel dat de onderneming had verwacht
Jammer dat de Autoriteit Persoonsgegevens zich onvoldoende in de Wwft heeft verdiept.
Kifid
Deze geschilleninstantie heeft op 1 juli jl. een teleurstellende niet-bindende uitspraak gedaan in een zaak tegen ICS. De kop van hun nieuwsbericht luidt: Kifid: betaaldienstverlener is wettelijk verplicht identiteit klanten opnieuw vast te stellen. In het nieuwsbericht en de uitspraak gaat Kifid van de onjuiste veronderstelling uit dat de verificatie van de identiteit periodiek moet worden ververst, terwijl de Wwft daar niet toe verplicht.
Wat nu?
Een en ander kan nog wel aan de rechter worden voorgelegd.
Aanvulling 4 januari 2022
Degenen die bij de Autoriteit Persoonsgegevens (AP) hebben geklaagd krijgen een brief die er ongeveer zo uitziet en waarin ook wordt gerefereerd aan het hierboven geciteerde bericht. Uit de brief blijkt dat de AP een normoverdragend gesprek met ICS heeft gevoerd.
De brief begint als volgt:
Daarna volgt een passage over de rol van de AP en hun prioriteringsbeleid. Vervolgens wordt over ICS het volgende gezegd:
Er volgt dan een tekst de aansluit bij het bericht van de AP over de vermeende heridentificatieverplichting op grond van de Wwft, waar ik eerder al over schreef:
Tevens komt het opvragen (niet-afdekken) van het BSN aan de orde, alsmede de foto:
De passage over het BSN gaat over financiële ondernemingen in het algemeen. Het is de vraag of een creditcardmaatschappij wel behoort tot de financiële instellingen die gegevens aan de Belastingdienst moeten leveren. Lees over het BSN ook dit.
In de brief is niets te vinden over de veiligheidsaspecten van de heridentificatie, wat jammer is. Het is nogal een verschil of de foto en het ID worden opgevraagd via een volwassen en geëncrypte app, dan wel of wordt gevraagd om opsturen per e-mail (zeer onveilig).
Ellen Timmer - juridische artikelen en berichten 
De AP verwijst toch naar het juistheidsbeginsel uit de AVG en niet naar de Wwft? Lijkt me logisch dat een bedrijf moet zorgen dat zijn klantenadministratie klopt.
Natuurlijk moet dat, maar financiële instellingen heridentificeren niet omdat ze twijfelen aan de identiteit van hun klanten. Ze doen dat omdat DNB beweert dat het zou moeten vanwege de actualiseringsplicht van de Wwft, wat onjuist is.
Het is in de genoemde KIFID-zaak maar de vraag of de klant wel is geïdentificeerd gezien de zin “Zij heeft van deze klant nu alleen een aanvraagformulier”. Als er geen bewijs is van identificatie is er geen sprake van her-identificatie maar van identificatie, ook al is dat op een later tijdstip dan bij aanvang klantrelatie. Hetzelfde zal gelden voor meer organisaties, zoals banken. Slordige dossiervorming, kwijtgeraakte stukken en verouderde of geupdate computersytemen zijn een verklaarbare reden waardoor identificatiegegevens zijn weggeraakt. Het is op zich geen probleem om dan alsnog om identificatie te vragen, vervelend maar nodig. Financiële instellingen zouden er goed aan doen helderder te communiceren en uit te leggen waarom er om identificatie wordt gevraagd. Het huidige machtsspel “als u niet doet wat wat wij willen vliegt u eruit” roept onnodige weerzin op.
Financiële instellingen moesten voorheen ook al identificeren volgens de destijds geldende regels. Het kan dus niet zo zijn dat de identiteit niet geverifieerd is.
Wat zijn de consequenties van de uitspraak van de AP in zo’n geval? Geldt dit als nieuwe “wetgeving”?
Wat is de macht van de AP?
Ook de AP kan er in sommige gevallen naast zitten. Wel is dan een procedure tegen de beslissing van de AP nodig, helaas. Ook voor Kifid geldt dat zij een juridisch onjuiste beslissing kunnen nemen, bij niet-bindende uitspraken kan belanghebbende zich dan tot de onafhankelijke rechter wenden. Helaas brengt dit wel mee dat er mensen hun nek moeten willen uitsteken en dat er juridische kosten moeten worden gemaakt.
De uitspraak van het kifid is inderdaad niet duidelijk of het om her-identificatie gaat. 20 jaar geleden kon men nog heel makkelijk een rekening openen zonder identificatie of een simpel kopietje via de email. Dan zou her-identificatie enigszins terecht zijn. Echter de banken verwijzen nu ook naar de antwoorden van het AP waardoor zij dit gebruiken als reden dit te mogen. Letterlijk de website van het AP gekregen als reden waarom dit mag. Zelf een klachtenprocedure opgestart maar dat zal wel naar niets leiden. Na 9 maanden wwft onderzoek met ontzettend ondermaatse kennis van de medewerkers was de her-identificatie de druppel. Zij hebben immers een kopie ID vanuit het bankkantoor uit 2009. Echter ben ik bang dat ik geen energie heb voor nog een strijd met de bank.
PS: Ik zou graag willen dat je ook geen foto hoeft te plaatsen als je met facebook inlogt 😉
Dank voor je reactie. In mijn herinnering is het voor het openen van een bankrekening altijd nodig geweest om langs te gaan en je identiteitsbewijs te tonen. Probleem voor de banken is eerder, dat zij wellicht die oude identificatiegegevens kwijt zijn geraakt. (Een rekening openen zonder identificatie ken ik niet uit Nederland. Misschien dat dit elders kon.)
In het verleden was het ook mogelijk om een spaarrekening te openen op basis van een overboeking vanaf je bestaande Nederlandse bankrekening, dan was identificatie in persoon niet nodig. Daardoor kunnen spaarrekening aanbieders geen kopie ID hebben.
Blijft een feit dat de Wwft geen heridentificatie voorschrijft. In normale situaties is daar geen reden voor. Wel dient het overige cliëntenonderzoek te worden geactualiseerd (zoals risicoprofiel).