De Rechtbank Amsterdam oordeelde onlangs dat een financiële instelling digitale verificatie van de identiteit mag afdwingen, nu de de wet geen verbod bevat.
In deze zaak werd door creditcardaanbieder ICS verzet ingesteld tegen een verstekvonnis dat een vennootschap onder firma (vof) en één van de vennoten van de rechter had verkregen.

Achtergrond

Interessant is dat ICS het doet voorkomen dat de Wwft zou eisen dat de klant zich online identificeert, dat blijkt uit dit citaat in de uitspraak (2.4):

Nu is het tijd voor de volgende stap: online identificatie. Ook deze stap is nodig om te kunnen voldoen aan de eisen van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft).

De Wwft bevat geen voorschrift dat online geïdentificeerd moet worden. Zelfs een kopie van een identiteitsbewijs (‘ID’) is niet nodig, het is voldoende dat het originele ID wordt ingezien en dat bepaalde gegevens worden genoteerd.

Kopie ID en selfie
In de uitspraak wordt de gang van zaken bij ICS beschreven, men moet een kopie van het originele identiteitsbewijs maken en een foto van zichzelf maken (een selfie). De beide bestanden worden via de app geüpload naar ICS.
Dit is een gang van zaken waarmee veel klanten van financiële instellingen moeite hebben, omdat zowel de kopie-ID als de selfie in de blackbox van de financiële instelling verdwijnen en de betrokkene geen idee heeft wat er mee gebeurt.

Oneindig bewaren
ICS verstrekt informatie over de duur dat de kopie-ID als de selfie worden bewaard. Dat is bij langdurige relaties ongeveer oneindig, want ICS schrijft (2.6):

De foto van uzelf en de foto van uw identiteitsbewijs met het watermerk, bewaren wij in onze systemen zolang u klant bij ons bent. Daarna bewaren we de foto’s nog eens 7 jaar. Dat is omdat wij, net als andere bedrijven, verplicht zijn om onze administratie 7 jaar te bewaren

Deze informatie is onjuist, want de laatste twee volzinnen kloppen niet. Kopie-ID en selfie zijn geen onderdeel van de financiële administratie en horen dus niet net zo lang als de administratie te worden bewaard.
De Wwft bevat een voorschrift dat de gegevens van het klantenonderzoek (waar kopie-ID en selfie deel van uitmaken) tot vijf jaar na het eindigen van de relatie moeten worden bewaard. Er is echter geen reden om alle tijdens de relatie verkregen kopie-ID’s en selfies zo langdurig te bewaren, want de Wwft zegt niet meer dan dat bepaalde gegevens die in het ID staan in de administratie moeten worden opgenomen. Dat betekent dat kopie-ID en selfie na korte tijd kunnen worden vernietigd, wat ook uit de dataminimalisatie-eis van de AVG voortvloeit. Dit komt in de uitspraak echter niet aan de orde.

Onder druk zetten door de rekening of creditcard te blokkeren
Opmerkelijk aan deze zaak (en vele andere discussies rondom verificatie van de identiteit) is verder:

• De financiële instelling zet de klant onder druk door de bankrekening of creditcard te blokkeren (2.7), terwijl er geen twijfel is aan de identiteit en er ook geen vermoeden van criminaliteit is. Dit lijkt op afpersing.
• ICS verbiedt de klant om iets op de kopie-ID te schrijven (2.9), terwijl de Autoriteit Persoonsgegevens daar heel anders over denkt, deze wordt geciteerd (2.8):

Let op: alle persoonsgegevens (zoals de foto en het BSN) op de beschreven kopie moeten leesbaar zijn. Ook de foto moet voldoende zichtbaar zijn om u te kunnen identificeren.
Wat u op de kopie schrijft, mag dus geen afbreuk doen aan de identificerende functie van de kopie”

• Door deze financiële instelling worden alternatieven geboden (2.10), nl. identificatie met de AMP Group aan huis (met de zelfde software als de app van ICS) of via de notaris (die de echtheid met een scanner checkt).

De vennoot weigert zijn medewerking aan deze aanpak van ICS en stelt een andere werkwijze voor.

Procedure

Toen ICS weigerde mee te werken heeft de vennoot een klacht bij de AP ingediend. Daarop is nog niet beslist (2.11).

Vordering
De vof (SCK) en de vennoot ([eiser 2]) zijn een procedure bij de rechtbank gestart en hebben bij de rechtbank gevorderd dat deze:

I. voor recht verklaart dat ICS niet van [eiser 2] en SCK kan eisen zich op de wijze zoals door ICS wordt voorgeschreven te doen identificeren;
II. voor recht verklaart dat [eiser 2] gerechtigd is een (fysieke) identificatie te eisen, in het kader waarvan een kopie en/of scan van het originele identiteitsbewijs, zonder dat deze is gewaarmerkt, achterwege blijft;
III. voor recht verklaart dat [eiser 2] gerechtigd is zelf een waarmerk aan te brengen op een kopie van het identiteitsbewijs welke voor ICS tot opslag ex artikel 33 Wwft dient;
IV. ICS verbiedt de creditcard te blokkeren en de rechtsverhouding tussen partijen te doen beëindigen, enkel en alleen vanwege de omstandigheid dat [eiser 2] en SCK zich aan de door ICS voorgeschreven identiteitsprocedure niet wensen te conformeren;
V. ICS veroordeelt in de kosten van deze procedure.

ICS is het hier niet mee eens.

Wijze van verificatie
De rechter geeft de vof en de vennoot ongelijk (4.4 en verder):

De stelling van SCK en [eiser 2] dat ICS [eiser 2] niet kan verplichten tot de online identificatie en verificatie slaagt niet.

waartoe de rechtbank overweegt dat de Wwft tot verificatie van de identiteit verplicht (wat juist is) en dat ICS – nu de Wwft niet voorschrijft hoe geverifieerd moet worden – vrij is online identificatie in de beschreven vorm voor te schrijven.

De rechtbank overweegt dat online verificatie van de identiteit mogelijk is (4.4, 4.5). Maar daar gaat het hier niet over. Het gaat er hier over of de klant via blokkering van de creditcard gedwongen mag worden de door ICS voorgeschreven werkwijze te volgen. De rechter is van mening dat ICS vrij is in de keuze (4.7, markering door mij):

Zoals onder 4.4 is overwogen, is ICS wettelijk verplicht tot cliëntenonderzoek en bevoegd om daarbij gebruik te maken van elektronische identificatiemiddelen. Het klopt dat de Wwft alternatieven biedt in de door [eiser 2] aangehaalde artikelen, maar hij ziet daarbij over het hoofd dat het gebruik van deze alternatieven niet mag afdoen aan het te verrichten cliëntenonderzoek en dat uit die bepalingen niet het recht op fysieke identificatie voortvloeit.

De vof en de vennoot maken bezwaar tegen gebruik van de scanner (die ook in de alternatieve methode door de notaris wordt gebruikt), waar de rechter niet in mee gaat:

De notaris noch ICS kan worden verplicht tot het bieden van een mogelijkheid voor een niet-digitale identificatie en verificatieprocedure.

Opslaan en langdurig bewaren
Boeiend is ook de vraag of de AVG wordt geschonden als ICS een kopie van een ongewaarmerkt ID en een selfie in haar administratie opslaat en langdurig bewaart (4.8 en verder). Aan de bewaarplicht aandacht besteed, op een wat mij betreft zeer onbevredigende wijze (4.9 en 4.10):

Ten aanzien van de bewaarplicht geldt het volgende. Artikel 33 Wwft bepaalt dat een instelling gegevens met betrekking tot het cliëntenonderzoek op opvraagbare wijze moet vastleggen en bewaren. Lid 1 onder a schrijft onder meer voor dat het dient te gaan om een afschrift van het document dat een persoon identificerend nummer bevat en aan de hand waarvan de verificatie van de identiteit heeft plaatsgevonden. Met een beroep op dit artikel en artikel 3 Wwft voert ICS terecht aan dat het identiteitsbewijs op echtheid moet worden gecontroleerd en van dit gecontroleerde, op echtheid gecontroleerde identiteitsbewijs een afschrift moet worden opgeslagen. Dit is van belang voor ICS zodat zij kan bewijzen dat zij de Wwft heeft nageleefd. Om deze reden kan niet van ICS worden verlangd dat zij een door [eiser 2] gewaarmerkte of beschreven kopie van het identiteitsbewijs accepteert. Zoals eerder overwogen en door ICS tijdens de zitting uitvoerig is toegelicht, kan van een beschreven kopie van het identiteitsbewijs de echtheid niet worden vastgesteld, omdat de echtheidskenmerken daardoor (gedeeltelijk) onleesbaar zijn geworden. De stelling van SCK en [eiser 2] dat deze vorm van bewaarplicht in strijd is met de AVG omdat een wettelijke grondslag ontbreekt, gaat derhalve niet op. Artikel 6 AVG eist een wettelijke basis voor verwerking van persoonsgegevens en die is gegeven in de artikelen 3 en 33 Wwft.

Zelfs als ICS een ongewaarmerkt ID en een ongewaarmerkte selfie zou mogen verwerken, is de vraag of deze bestanden in die vorm bewaard mogen worden. Volgens ICS wordt er naderhand een watermerk aangebracht, waarover de vof en de vennoot in de procedure zeggen dat niet te controleren valt of dat daadwerkelijk is gebeurd en dat ook niet te controleren is of de door ICS gebruikte software het aangebrachte watermerk weer ongedaan kan maken (4.11). Over de selfie wordt niet gerept.

De rechtbank vindt dat de stelling van ICS dat bij de vaststelling van de echtheid van het identiteitsbewijs een kopie wordt opgeslagen dat meteen wordt voorzien van een watermerk, onvoldoende door de wederpartij is betwist, zodat de bezwaren in deze geen stand houden.

De rechtbank concludeert dat ICS terecht online verificatie van de identiteit mocht verlangen en daarom de relatie mag opzeggen indien de vof en de vennoot volharden in hun weigering om mee te werken aan identificatie op één van de door ICS voorgeschreven wijzen.

Alle vorderingen van de vof en de vennoot worden afgewezen.

Opmerkingen
Opvallend is dat de bewaartermijn niet nader aan de orde is gekomen.
Verder is niet besproken dat het door de financiële instelling dreigen met het beëindigen van de relatie als drukmiddel wordt gebruikt zonder dat sprake is van een vermoeden van criminaliteit. Ik vind dat een twijfelachtige gang van zaken.

Tot slot

In deze zaak is de ongewenste uitkomst dat een burger onder dreiging van beëindiging van de relatie kan worden gedwongen tot afgifte van kopie-ID en selfie, die vervolgens zeer langdurig worden bewaard door de financiële instelling, terwijl daar geen noodzaak voor is.

Dat lange bewaren wordt niet ingegeven door het belang van de klant of van de criminaliteitsbestrijding, maar is alleen nodig als bewijs ten opzichte van DNB en Openbaar Ministerie.