Autoriteit Persoonsgegevens over heridentificatie door ICS | Wwft, AVG

Geplaatst op 5 juli 2022 door Ellen Timmer

Onlangs ontving ik een besluit op bezwaar van de Autoriteit Persoonsgegevens (AP), waarin de problematiek van ‘heridentificatie’ door financiële instellingen aan de orde komt. Ook wordt het gebruik van het BSN door een creditcard uitgevende instelling besproken. Aangezien ik over dit thema veel lezersreacties heb ontvangen (zie mijn heridentificatie serie), besteed ik nu aandacht aan dit besluit.

Klachten
De in deze zaak ingediende klachten worden door de AP als volgt samengevat:

Identificatie door financiële instellingen
Naar aanleiding hiervan begint de AP met op te merken dat ICS een financiële onderneming als bedoeld in de Wft is en een vergunning heeft als bank en dat ICS aan wettelijke verplichtingen moet voldoen, waartoe onder meer het heridentificeren zou vallen (wettelijke grondslag in de zin van de AVG). Volgens de AP is de heridentificatie gebaseerd op de AVG (terwijl financiële instellingen in opdracht van DNB op grond van de Wwft heridentificeren), zo blijkt uit de toelichting die de AP in een voetnoot geeft:

Op die actualiseringsplicht heb ik eerder al commentaar gegeven en lees ook mijn eerdere artikel van vandaag. Problematisch is dat in de financiële sector nu de gedachte rond gaat dat er permanent een geldig identiteitsbewijs in het dossier moet zitten, terwijl de witwasbestrijdingsregels (Wwft) en AVG dat niet voorschrijven.

Aangezien alle identificatiemomenten cybersecurity risico’s met zich mee brengen, is het belangrijk dat aantal momenten te reduceren tot wat daadwerkelijk noodzakelijk is, waarbij ook rekening kan worden gehouden met de informatiepositie van de financiële instelling. Voorbeeld: een bank die maandelijks salaris of uitkering op de rekening ziet binnen komen heeft geen aanleiding te twijfelen aan de identiteit of aan het in leven zijn van de klant.

De selfie als identificatiemiddel
Over ICS is vaker geklaagd, wat geleid heeft tot overleg door de AP met de financiële instelling en aanpassing van de werkwijze, zo schrijft de AP:

Uit de tekst blijkt dat de AP veronderstelt dat een kopie van een identiteitsbewijs vergezeld van een ‘selfie’ bewijs van de identiteit zou leveren, terwijl er zowel met kopieën van identiteitsbewijzen als met selfies geknoeid kan worden. Ik begrijp niet waarom dit geaccepteerd wordt. Bovendien kan betrokkene niet controleren of de financiële instelling na controle de foto uit het ID verwijdert en de foto weggooit.

Het valt op dat de AP geen aandacht besteedt aan de wijze waarop door de financiële instelling met de klant wordt gecommuniceerd. Het maakt nogal uit of de selfie wordt gemaakt met de smartphone die de klant voor het betalingsverkeer gebruikt en dat het kopie ID en de foto via beveiligde bestandsuitwisseling aan de instelling wordt verstrekt, bij voorkeur na het verwijderen van overbodige gegevens. Zie in dit verband ook dit artikel met ervaring van iemand anders met ICS.

Het versturen van een kopie ID en selfie per post of e-mail zijn per definitie onbetrouwbaar en onveilig.

Kopie ID
De AP schrijft dat er een wettelijke grondslag is voor het maken en bewaren van een kopie van het identiteitsbewijs, wat op zich klopt. Echter: de Wwft verplicht daar niet toe, als alternatief mogen ook de gegevens van het ID worden genoteerd, zie mijn eerdere artikel van vandaag.

De AP schrijft:

Er staat: “Voor zover dat noodzakelijk is“. Er is geen noodzaak een kopie ID te bewaren als de gegevens zijn genoteerd. Bovendien gaat het bij de identificatieplicht op grond van de de Wwft om de aanvang van de relatie. In het kader van beperking van het identiteitsfrauderisico dient daarom op zijn hoogst bij de aanvang van de relatie een kopie te worden gemaakt en (na verwijdering van overbodige gegevens zoals foto en BSN) te worden opgeslagen.

BSN
De AP geeft in het besluit uitleg over het gebruik van het burgerservicenummer, BSN:

In deze zaak ging het om een creditcard. Veel creditcardhouders lossen hun schuld aan de creditcardmaatschappij meteen af.

Opvallend is dat de AP zegt dat creditcardaanbieders het BSN mogen verwerken omdat er misschien ooit een keer een positief saldo ‘op’ de creditcard staat, zodat het depositogarantiestelsel van toepassing is (waarvoor het BSN verwerkt mag worden). Hierbij vraag ik me af of het niet veel beter zou zijn als de creditcard met stortingsmogelijkheid een apart product zou zijn, zodat alleen bij die creditcards het BSN hoeft te worden geregistreerd.

De AP schrijft verder dat ICS als bank het BSN zou mogen verwerken. Dat is alleen relevant als deze klager naast een creditkaart ook een bankrekening heeft [*].

Veiligheidsvoorschriften
Naar mijn mening is het hoog tijd dat financiële instellingen niet langer zelf bepalen hoe de communicatie met klanten verloopt over vertrouwelijke kwesties en dat het volgende wordt voorgeschreven:

  1. Identificatie vindt alleen nog in persoon plaats. Dat financiële instellingen geen kantoren meer hebben is een probleem dat zij zelf gecreëerd hebben. Zoals zij kunnen samenwerken inzake Geldmaat, is dat ook mogelijk bij identificatie en klantenonderzoek.
  2. Er worden geen kopieën meer van identiteitsbewijzen gemaakt, tenzij het gaat om de verificatie van de identiteit bij aanvang van de relatie (er is dan een wettelijke grondslag nodig). Het BSN wordt standaard verwijderd.
  3. Er worden geen foto’s van klanten meer gemaakt en bewaard.
  4. Het BSN wordt apart van de gegevens van het ID bewaard, uitsluitend wanneer er producten worden aangeboden die onder het depositogarantiestelsel vallen of als de fiscale wetgeving dat voorschrijft.
  5. Financiële instellingen dienen een beveiligd kanaal aan te bieden voor veilige communicatie voor uitwisseling van gegevens inzake het klantenonderzoek.
  6. E-mail wordt verboden (anders dan voor generieke nieuwsbrieven) en dit wordt duidelijk gecommuniceerd. Lees over phishing met heridentificatie: dit en sommige banken sturen e-mail berichten die er sprekend als phishing uitzien.
  7. Alle werkwijzen die tot verwarring bij klanten kunnen leiden en risico op phishing en fraude door derden opleveren, worden verboden (lees onder meer dit en dit). Zoals per e-mail oproepen tot heridentificatie en medewerking aan het cliëntenonderzoek.

Verder is van belang dat financiële instellingen intensief worden gecontroleerd op correcte naleving de veiligheidsmaatregelen.

 

[*] Overigens vraag ik me af of banken alleen een positief saldo aan de fiscus moeten opgeven, dan wel of zowel vorderingen als schulden worden opgegeven. Dat zal ik in de in noot 21 genoemde vindplaatsen moeten nakijken.

 

Meer informatie:

Over Ellen Timmer

Weblog: https://ellentimmer.com/ ||| Microblog: https://mastodon.nl/@ellent ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce en getagged met , , , , , , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

Gravatar
WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Annuleren

Verbinden met %s