De Wwft verplicht niet tot heridentificatie en ook niet tot kopietje paspoort

Sommige ondernemingen die witwassen moeten bestrijden, zoals banken (‘Wwft-plichtigen’), veronderstellen dat de wet, de Wwft (Wet ter voorkoming van witwassen en financieren van terrorisme) verplicht tot ‘heridentificatie’ van bestaande klanten. Verder zijn er mensen die denken dat als door een Wwft-plichtige diensten worden verricht, er altijd een kopie van een geldig identificatiebewijs in het dossier moet zitten. Deze gedachten zijn onjuist, zoals ik hierna zal toelichten.

Verificatie identiteit
Het systeem van de Wwft is dat de identiteit van de cliënt (als het een natuurlijke persoon is) of de vertegenwoordiger van de cliënt (als die cliënt geen natuurlijke persoon is) wordt geverifieerd vóór het aangaan van de zakelijke relatie [1].
De verificatie van de identiteit is een onderdeel van het cliëntenonderzoek dat Wwft-plichtigen moeten verrichten.

Actualisering
De Wwft-plichtige is verplicht tot het nemen van maatregelen om de gegevens die tijdens het onderzoek zijn verzameld actueel te houden [2]. Het gaat hier dan om de gegevens die kunnen wijzigen.
Dat is niet aan de orde bij de identiteit van de cliënt, zoals ook in een parlementair stuk [3] is opgemerkt (destijds stond de actualiseringsplicht in het zevende lid), markering door mij:

Het nieuwe zevende lid expliciteert de verplichting voor instellingen om de verzamelde informatie over de cliënt actueel te houden. Dit impliceert dat de instelling periodiek de verzamelde gegevens controleert en bijwerkt. Een geschikte gelegenheid daartoe doet zich bijvoorbeeld voor wanneer de cliënt in persoon verschijnt bij de instelling. De verplichting ziet op het actueel houden van gegevens, niet op het vervangen van (afschriften van) documenten. Zo is bijvoorbeeld niet beoogd dat een kopie van een identificatiebewijs moet worden vervangen wanneer de geldigheidsduur daarvan is verlopen.

De actualiseringsplicht van de Wwft heeft betrekking op de gegevens inzake de cliënt die nodig zijn om vast te stellen wat het risico is dat de cliënt zich aan witwassen of terrorismefinanciering schuldig zal maken (risicoprofiel). In de Wwft is vastgelegd [4] dat onder meer onderzoek moet worden ingesteld naar:

  • de eigendoms- en zeggenschapsstructuur van de cliënt (cliënten die geen natuurlijke persoon zijn),
  • de uiteindelijk belanghebbenden (cliënten die geen natuurlijke persoon zijn),
  • het doel en de beoogde aard van de zakelijke relatie met de Wwft-plichtige,
  • zo nodig een onderzoek naar de bron van de middelen die bij de zakelijke relatie of de transactie gebruikt worden,
  • de vaststelling of ten behoeve van een derde wordt opgetreden.

Voorts zal moeten worden nagegaan of sprake is van omstandigheden die een verhoogd risico opleveren en moeten er extra maatregelen worden genomen als dat het geval is [5].

Twijfel aan de identiteit
Het betekent overigens niet dat er nooit reden is om de identiteit te verifiëren, maar dat is bijvoorbeeld aan de orde als de Wwft-plichtige redenen heeft om te vermoeden dat sprake is van identiteitsfraude of dat de cliënt is overleden. Het zal van de soort relatie tussen Wwft-plichtige en de cliënt afhangen of er reden is voor een check.

Voorbeeld: als een rekeninghouder recent het kantoor van de bank heeft bezocht en zijn identiteitsbewijs heeft getoond aan de bankmedewerker, is er geen reden om te veronderstellen dat iemand anders de rekening heeft gekaapt en is betrokken ook in leven.

Kopietje paspoort?
Een ander punt van aandacht is dat de Wwft niet verplicht tot het vastleggen van een kopie van het identiteitsbewijs (ID) in het klantendossier. In dat verband is het goed om nogmaals te wijzen op het feit dat de Wwft aan Wwft-plichtigen de keuze geeft [6] om het  originele ID in te zien en hetzij:

  1. de wettelijk voorgeschreven gegevens te registreren in het klantendossier [7], dan wel:
  2. in het klantendossier een afschrift op te nemen van het document dat een persoonidentificerend nummer bevat en aan de hand waarvan de verificatie van de identiteit heeft plaatsgevonden.

Nu de AVG verplicht tot dataminimalisatie, doen Wwft-plichtigen er goed aan geen kopie ID in het klantendossier op te nemen, maar te volstaan met onder 1. aangegeven methode. Juist die kopieën vormen een hoog risico bij identiteitsfraude, zoals uit de laatste Monitor Identiteit [8] is gebleken.

In de praktijk is te zien dat sommige Wwft-plichtigen de communicatie met hun cliënten op afstand doen en dat dit voor problemen zorgt. Bij banken is dat het geval, zij hebben veel van hun filialen gesloten (of hebben geen kantoor waar klanten hen kunnen bezoeken) en kiezen voor verificatie van de identiteit ‘op afstand’ en doen dat vaak op onveilige manier. Door het sluiten van filialen hebben deze Wwft-plichtigen zelf een probleem gecreëerd, nu er in Nederland nog geen volwassen digitaal verificatiesysteem is (al schrijft de Europese eIDAS regeling dat wel voor). Banken slagen er goed in samen te werken inzake de Geldmaat, dus kunnen ze ook samenwerken inzake een volwassen verificatiesysteem dat veilig is en voldoet aan de AVG-eis inzake dataminimalisatie.

Tot slot
Ik blijf er bij dat het standpunt van de Autoriteit Persoonsgegevens onjuist is en dat ook de geschilleninstantie Kifid er naast zit [9].
Verder is van groot belang dat in het kader van de dataminimalisatieplicht van de AVG geen kopieën van ID’s meer worden opgeslagen.

 

Noten
[1] Zie artikel 3 lid 2 sub a. en artikel 4 lid 1 Wwft, uitzonderingen in artikel 4 leden 3 tot en met 6 Wwft. De actuele tekst van de Wwft is hier te vinden.
[2] Artikel 3 lid 11 Wwft.
[3] Zie de memorie van toelichting inzake de Wijziging van de Wet ter voorkoming van witwassen en financieren van terrorisme en de Wet ter voorkoming van witwassen en financieren van terrorisme BES in verband met de implementatie van aanbevelingen van de Financial Action Task Force.
[4] Artikel 3 lid 2 Wwft.
[5] Zie § 2.3. Wwft over het verscherpt cliëntenonderzoek.
[6] Artikel 33 lid 2 Wwft.
[7] Bij natuurlijke personen (niet zijnde uiteindelijk belanghebbenden) zijn dat: de geslachtsnaam, de voornamen, de geboortedatum, het adres en de woonplaats, dan wel de plaats van vestiging van de cliënt alsmede van degene die namens die natuurlijke persoon optreedt en de aard, het nummer en de datum en plaats van uitgifte van het document met behulp waarvan de identiteit is geverifieerd.
Zie voor wat er inzake uiteindelijk belanghebbenden en entiteiten geregistreerd moet worden de rest van artikel 33 lid 2 Wwft.
[8] Zie mijn artikel Informatie over identificatie en identiteitsfraude | Monitor Identiteit 2021.
[9] Allebei te vinden via mijn artikel Heridentificatie: de burger staat met 0-1 achter | Wwft, AVG.

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/ ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft en getagged met , , , , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s