Van een relatie ontving ik een vraag over het cliëntenonderzoek door een grootbank, die begint met “Wij ontvingen van ING een brief waarin het identiteitsbewijs wordt gevraagd van de ondernemer en om dat toe te sturen naar een in onze ogen obscuur e-mailadres“.

Dat is een goede aanleiding voor een blogbericht.

Vraag

Geachte mevrouw Timmer,
Wij hebben met grote belangstelling uw site bezocht en vragen graag uw advies.

Wij ontvingen van ING een brief waarin het identiteitsbewijs wordt gevraagd van de ondernemer en om dat toe te sturen naar een in onze ogen obscuur e-mailadres.

Zie bijgaande brief.

Het probleem is dat wij de brief niet vertrouwen, omdat
1. wij niet kunnen verifiëren of die officieel van ING afkomstig is,
2. wij de handtekening niet kunnen controleren,
3. het emailadres obscuur oogt,
4. het saldo op de bank te hoog is om onzorgvuldig te zijn,
5. de overheid schrijft: “Banken en financiële dienstverleners zijn niet verplicht om een kopie of een scan van uw identiteitsbewijs te maken. Wel zijn ze verplicht de gegevens van uw identiteitsbewijs te controleren en vast te leggen. Dit staat in de Wet ter voorkoming van witwassen en financieren van terrorisme (WWFT).”,
6. uzelf schrijft: “DNB schrijft in de leidraad Wwft in paragraaf 4.2.5 dat de verificatie in beginsel moet zijn afgerond voordat een zakelijke relatie ontstaat en de dienstverlening aanvangt”

Bovendien wenst de bank een gecertificeerde kopie en schrijft ING dat de certificering bij hen op kantoor plaats zou moeten vinden. Maar dan is het toesturen per e-mail nergens meer voor nodig!
Wij vinden dat de brief rammelt. En wij vinden er noch op de website van de bank info over, noch op Internet.
Graag horen wat van u hoe u hier tegenaan kijkt en hoe wij veilig kunnen stellen dat wij geen onveilige dingen doen.

De brief van de bank
Bij dit bericht zit een kopie van een brief, die geanonimiseerd als volgt luidt:

In een bijlage wordt dit gevraagd:

Opvallend aan dit soort berichten: er staat geen mens als ondertekenaar vermeld, de bank roept op om vertrouwelijke (persoons)gegevens per onveilige e-mail te verstrekken en zegt niet eerlijk dat ze criminaliteit moeten opsporen.

Antwoord
Ik heb de vragensteller als volgt geantwoord:

Dank voor uw bericht.

Het is van algemene bekendheid dat e-mail ongeschikt is voor vertrouwelijke correspondentie.
Recent heb ik daar aandacht aan besteed in https://ellentimmer.com/2022/09/19/onveilige-mail-4/, naar aanleiding van het advies van de NOvA:

Wat voor advocaten geldt, geldt ook voor banken.

Helaas is mijn ervaring dat banken de communicatie met cliënten over het klantenonderzoek op onveilige manier uitvoeren, aangezien ze van klanten vragen om vertrouwelijke gegevens (zowel persoonsgegevens als andere vertrouwelijke gegevens) per e-mail te versturen.

Of de brief die u als pdf toestuurde echt is, kan ik niet beoordelen. Het genoemde e-mail adres zou goed van ING kunnen zijn, nu het eindigt op ing.com.

De tekst van de brief komt mij bekend voor, het is een versluierde wijze om te vertellen dat zij op grond van Nederlandse en Europese wetgeving moeten onderzoeken of de klant er criminele activiteiten op na houdt. Als daarvan blijkt moeten ze ongebruikelijke transacties melden bij FIU-Nederland (onderdeel van de politie) en moeten zij de relatie beëindigen. Hiermee zijn banken een soort van pseudo-overheid geworden, zonder dat burgers de bank verantwoordelijk kunnen stellen voor de wijze van optreden.

De bank hoort voor de communicatie (zeker op grond van de persoonsgegevensbeschermingswet AVG) een beveiligd alternatief te bieden. U doet er goed aan de bank te vragen om de vragen via een beveiligd kanaal (bijvoorbeeld de bank app) te stellen en u in de gelegenheid te stellen de antwoorden via een beveiligd kanaal te geven.

Samenvattend: in een tijd van toenemende cybercrime is het essentieel dat ondernemingen waarvan burgers afhankelijk zijn, zoals banken, professioneel en cybersecure handelen. Daar hoort bij:

1. Dat banken op een cybersecure en bewijsbare wijze hun klantenonderzoeksvragen stellen. Het beste is dat dit via een beveiligde omgeving gebeurt, bijvoorbeeld door inloggen op een internetomgeving met een computer of via een app.
2. Dat banken aan hun klanten een veilige wijze van verschaffing van vertrouwelijke gegevens bieden, bijvoorbeeld doordat er een veilige internetomgeving wordt geboden of kan worden geüpload via een veilige app. E-mail is voor vertrouwelijke correspondentie volledig ongeschikt.

Voor het overige dient de bank bij het cliëntenonderzoek reële vragen te stellen die niet verder gaan dan nodig om hun criminaliteitsopsporingstaken uit te voeren. Zo is het niet nodig de cliënt opnieuw te identificeren als dat eerder al op de juiste manier is gebeurd. Op grond van de wet is heridentificatie alleen nodig als er twijfel is aan de identiteit.

Praktisch:
• u doet er goed aan om de bank om toezending van de vragen via beveiligde weg te verzoeken,
• én hen te verzoeken om een veilig kanaal voor het verzenden van persoonsgegevens en andere vertrouwelijke gegevens.

Als lezers van dit blog eigen ervaringen hebben die voor anderen nuttig kunnen zijn, zijn hun reacties op dit artikel van harte welkom.

Aanvulling 29 september 2022
Overigens is het per e-mail opsturen van een kopie identiteitsbewijs geen geldige verificatie van de identiteit (want er kan andermans kopie-ID worden opgestuurd). ING wil dat kennelijk oplossen door middel van de certificering op kantoor. Lees over online verifiëren van de identiteit dit artikel.