De identificatieperikelen bij financiële instellingen zorgen voor de nodige commotie, omdat die instellingen de aanbevelingen van de Autoriteit Persoonsgegevens (AP) met de voeten treden. Nog erger is het dat de financiële instellingen van geschillenbeslechtende gelijk krijgen, op twijfelachtige gronden (voorbeeld in dit artikel).

De Commissie van Beroep Financiële Dienstverlening van Kifid deed op 23 februari 2023 uitspraak in een geschil dat ook over identificatie (verificatie van de identiteit) ging. De uitspraak wordt op security.nl besproken.

De klant in deze zaak volgde de aanbevelingen van de AP op door op de kopie van het identiteitsbewijs (ID) aan te geven dat deze uitsluitend voor de bank bestemd is en het BSN af te plakken. Dat werd door de bank niet geaccepteerd.

Geschillencommissie
De klant legde het geschil aan de Geschillencommissie voor, die gedeeltelijk mee ging:

4.2 De Geschillencommissie heeft overwogen, heel kort samengevat, dat een onderscheid moet worden gemaakt tussen de verplichting tot het identificeren en verifiëren van de identiteit van cliënten enerzijds (art. 3 lid 2 sub a Wwft) en de verplichting tot het vastleggen en bewaren van de daarvoor gebruikt documenten en gegevens anderzijds (art. 33 Wwft). Het is de bank wel toegestaan om een foto of scan van het onbewerkte identiteitsdocument van de consument op te vragen voor identificatie- en verificatiedoeleinden, maar zij mag die foto of scan niet onbewerkt vastleggen en bewaren. Dit is namelijk in strijd met het beginsel van minimale gegevensverwerking. De bank zal in ieder geval de pasfoto moeten afschermen en een watermerk moeten aanbrengen. De consument mag daarom niet (digitaal) schrijven op de foto of scan die zij aanlevert ter identificatie. Zij mag wel van de bank eisen dat de kopie die zij vastlegt en bewaart, bewerkt wordt.

4.3 Verder heeft de Geschillencommissie overwogen dat, hoewel de consument geen bezwaar heeft gemaakt tegen het verwerken van haar BSN, zij ook hierover haar oordeel zal geven. Volgens de Geschillencommissie is er een voldoende wettelijke grondslag voor verwerking van het BSN, hoewel de Wwft daarvoor geen grondslag bevat. Op grond van art. 53 lid 3 van de Algemene wet inzake rijksbelastingen is de bank namelijk verplicht bij het verstrekken van gegevens en inlichtingen aan de Belastingdienst ook het BSN te vermelden. Ook is de bank op grond van art. 3:17 lid 6 van de wet op het financieel toezicht (Wft) verplicht het BSN van haar rekeninghouders met DNB te delen ten behoeve van het depositogarantiestelsel. De Geschillencommissie is van oordeel dat het de bank op grond van deze wettelijke verplichtingen en daaruit voortvloeiende doeleinden is toegestaan het BSN van de consument dat is verkregen in het kader van het cliëntenonderzoek onder de Wwft vast te leggen en te bewaren.

Commissie van Beroep
In hoger beroep denkt de Commissie van Beroep er anders over. Hoogst merkwaardig is dat de Commissie meent dat de bank mag identificeren met een kopie en dat een kopie op echtheid gecontroleerd zou kunnen worden (5.9). Ook merkwaardig is de interpretatie dat de bewaarplicht van artikel Wwft zou inhouden dat een kopie van het ID langdurig bewaard zou mogen worden (5.20), waarbij het enige doel lijkt te zijn dat de bank kan bewijzen de cliënt te hebben geïdentificeerd (5.17). Het oordeel:

5.20 Tegen deze achtergrond is de Commissie van Beroep van oordeel dat de bewaarplicht van art. 33 Wwft zo moet begrepen, dat deze betrekking heeft op alle documenten en gegevens die de bank heeft gebruikt in het kader van het cliëntenonderzoek. Dat betekent dat het identiteitsbewijs dat is gebruikt in het proces van verificatie en identificatie, met daarop een herkenbare (dus niet-bewerkte) pasfoto, moet worden bewaard.

Dat oordeel acht ik onjuist, aangezien de Wwft niet voorschrijft dat een kopie ID langdurig wordt bewaard, maar slechts dat op correcte wijze wordt geïdentificeerd en dat bepaalde gegevens in de administratie worden opgenomen (artikel 33 Wwft stelt niet verplicht dat een kopie wordt bewaard). Bovendien is er geen reden een kopie langer te bewaren dan nodig, nu voldoende is om de in artikel 33 Wwft bedoelde gegevens vast te leggen. Denkbaar is dat kopieën enige tijd (bijvoorbeeld enkele jaren) worden bewaard en daarna vernietigd. Dat de AVG toestaat dat de bank de klant identificeert staat buiten kijf, de vraag is of de criminaliteitsbestrijding is gediend met het oneindig bewaren van een kopie-ID. Daar geeft de Commissie geen antwoord op.

Het algemene relaas van de Commissie over het cliëntenonderzoek op grond van de Wwft (5.6-5.7, 5.10-5.19, 5.21) is niet relevant voor de identificatie. Ook het relaas inzake de AVG (5.23-5.20) is onjuist.

Het standpunt van de Commissie leidt tot onnodig lang bewaren van kopieën van ID’s, zonder dat er een criminaliteitsbestrijdingsbelang mee is gediend. Wel lopen alle burgers wiens kopie-ID langdurig worden bewaard risico, aangezien ook de financiële sector datalekken kunnen plaats vinden.

Verder wordt vergeten dat financiële instellingen de kopie-ID’s onnodig lang bewaren, zoals ik eerder al schreef.

Standpunt DNB
In de procedure bij de Commissie wordt aan DNB gevraagd om haar standpunt inzake verificatie van de identiteit, wat opmerkelijk genoemd mag worden. De huidige merkwaardige praktijken van financiële instellingen rondom identificatie zijn gebaseerd op een geheime oekaze van DNB. In de uitspraak wordt DNB als volgt geciteerd:

1.9 Bij e-mailbericht van 22 september 2022 heeft DNB de vragen van de Commissie van Beroep als volgt beantwoord:

“Met betrekking tot uw vraag of DNB verwacht dat onder haar toezicht staande instellingen (in dit concrete geval ABN AMRO Bank N.V.) beschikken over de pasfoto om aan verschillende wettelijke verplichtingen te kunnen voldoen, zoals bijvoorbeeld het kunnen toepassen van verschillende vormen van fraudedetectie en het kunnen voldoen aan wettelijke verplichtingen en de bank is gehouden de pasfoto als onderdeel van het kopie paspoort in het kader van ID&V (identificatie en verificatie) ten behoeve van de audittrail (ex artikel 33 Wwft en 14 lid 5 Bpr Wft) te bewaren, kunnen wij u bevestigen dat DNB dit als toezichthouder verwacht en het bewaren van de volledige paspoort kopieën ook noodzakelijk is voor DNB om haar controlerende taak goed uit te kunnen voeren. Dit ziet op het feit dat;

Instellingen de identiteit van hun klanten en wettelijke vertegenwoordigers dienen vast te stellen en diens identiteit te verifiëren (artikel 3 Wwft lid 2 onder a en e). Daarnaast zoals hierboven al opgemerkt dienen zij deze informatie conform artikel 33 Wwft en artikel 14 lid 5 Bpr Wft te bewaren ten behoeve van de audit trail. In geval van een onderzoek van DNB dient de onder toezicht staande instelling aan te kunnen tonen dat het de verplichtingen inzake identificatie en het vervolgens verifiëren van de identiteit van hun klanten en wettelijke vertegenwoordigers heeft nageleefd. Artikel 33 vereist niet dat de foto niet wordt bewaard. De witwasrichtlijn (AMLD) gaat er ook van uit dat een kopie van het document kan worden bewaard. Zie artikel 40, eerste lid (https://www.eba.europa.eu/regulation-and-policy/single-rulebook/interactivesingle-rulebook/101906):

“Member States shall require obliged entities to retain the following documents and information in accordance with national law for the purpose of preventing, detecting and investigating, by the FIU or by other competent authorities, possible money laundering or terrorist financing: (a) in the case of customer due diligence, a copy of the documents and information (…)”

DNB kan ook bevestigen dat het bewaren van de identiteitsbewijzen inclusief pasfoto ook is noodzakelijk om fraude en mogelijk onjuist gebruik van een rekening tegen te gaan, bijvoorbeeld bij het identificeren op afstand of online.”

Opvallend is de juridische onderbouwing door DNB mager is. Zo wordt gesproken over de noodzaak van een pasfoto voor fraudedetectie, terwijl de Wwft daar niets over bepaalt en het de vraag is welke relevantie een pasfoto daar voor heeft. De ‘wettelijke verplichtingen’ waarop is gebaseerd dat een complete kopie van het ID moet worden bewaard, worden door DNB niet genoemd (wat ook niet kan, want dergelijke wettelijke verplichtingen zijn er niet). DNB vindt het fijn om kopieën van ID’s te kunnen zien, maar denkt duidelijk niet na over de risico’s die aan deze praktijk verbonden zijn.

Er wordt door DNB melding gemaakt van ‘de audittrail’ die gebaseerd zou zijn op artikel 33 Wwft (waarin niets staat over een verplichte kopie ID) en artikel 14 lid 5 Bpr Wft (dat ook in algemene zin een bewaarplicht voorschrijft [1]). Verder wordt verwezen naar artikel 40, eerste lid van  de Europese richtlijn (AMLD4), die eveneens in algemene bewoordingen een bewaarplicht voorschrijft [2]. In artikel 40 AMLD4 wordt gesproken over het bewaren van documenten en informatie, er staat niet dat een kopie-ID moet worden bewaard. Ook hoofdstuk II AMLD4 schrijft dat niet voor, in artikel 13 lid 1 a) staat (markering door mij):

de identificatie van de cliënt en de verificatie van zijn identiteit op basis van documenten, gegevens of informatie uit een betrouwbare en onafhankelijke bron, met inbegrip van, voor zover beschikbaar, elektronische identificatiemiddelen, relevante vertrouwensdiensten zoals vastgesteld in Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad ( 15 ) of ieder ander identificatieproces dat veilig is, op afstand of langs elektronische weg plaatsvindt en door de relevante nationale autoriteiten is gereglementeerd, erkend, goedgekeurd of aanvaard

Er staat ‘op basis van’. Dat betekent niet dat overal kopieën van gemaakt moeten worden!

DNB gaat uit van een onjuiste interpretatie van AMLD4 en artikel 33 Wwft. Treurig.

Tot slot
Deze uitspraak laat zien dat Kifid niet is toegerust op haar taak. Het is tijd voor een hoogwaardige rechtsbescherming in de financiële sector en inzake witwasbestrijdingsgeschillen. Deze thematiek hoort niet bij een door de financiële instellingen gefinancierde geschilleninstantie thuis, maar bij de onafhankelijke rechter.

NB De Wwft bevat geen voorschriften over de wijze van identificatie. Het opsturen van een kopie van een identiteitsbewijs is geen toegestane vorm van identificatie aangezien niet gecontroleerd kan worden of de afzender klopt en of de kopie op juiste wijze is tot stand gekomen. De enige juiste vorm van echtheidscontrole is fysieke inzage van het originele identiteitsbewijs dan wel het digitaal aflezen van de chip in het ID.

Noten

[1] Artikel 14 lid 5 Besluit prudentiële regels Wft:

De financiële onderneming, bedoeld in het tweede lid, onderscheidenlijk het bijkantoor, draagt zorg voor de documentatie en vastlegging met betrekking tot de acceptatie en indeling naar risico van cliënten, de identificatie en verificatie van de gegevens van cliënten en de bewaking van het handelen van cliënten. Dergelijke gegevens worden tot vijf jaar na de dienstverlening of het beëindigen van de relatie bewaard.

[2] Zie artikel 40 lid 1 AMLD4 in de laatste geconsolideerde versie:

Artikel 40

1.  De lidstaten verlangen dat meldingsplichtige entiteiten overeenkomstig het nationale recht met het oog op het voorkomen, opsporen of onderzoeken door de FIE of door andere bevoegde autoriteiten van mogelijke gevallen van witwassen of terrorismefinanciering, de volgende documenten en informatie bewaren:

a) wat het cliëntenonderzoek betreft, een afschrift van de documenten en inlichtingen die nodig zijn voor het naleven van de cliëntenonderzoeksvoorschriften vastgelegd in hoofdstuk II, met inbegrip van, indien beschikbaar, informatie verkregen via elektronische identificatiemiddelen, relevante vertrouwensdiensten zoals bedoeld in Verordening (EU) nr. 910/2014 of ieder ander identificatieproces dat veilig is, op afstand of langs elektronische weg plaatsvindt en door de relevante nationale autoriteiten is gereglementeerd, erkend, goedgekeurd of aanvaard, gedurende een termijn van vijf jaar vanaf het einde van de zakelijke relatie met hun cliënt of vanaf de datum van een occasionele transactie;

b) de bewijsstukken en registratiegegevens van transacties, zijnde de originele stukken of de afschriften die krachtens hun nationaal recht eenzelfde bewijskracht hebben, die nodig zijn voor het identificeren van een transactie, gedurende vijf jaar vanaf het einde van de zakelijke relatie met hun cliënt of vanaf de datum van een occasionele transactie.

Bij het verstrijken van de in de eerste alinea bedoelde bewaringstermijnen, zorgen de lidstaten ervoor dat de meldingsplichtige entiteiten de persoonsgegevens wissen tenzij dit anders is geregeld bij het nationaal recht, dat bepaalt onder welke omstandigheden meldingsplichtige entiteiten gegevens langer mogen of moeten bijhouden. De lidstaten kunnen een langere bewaring toestaan of verlangen, nadat zij de noodzaak tot en de evenredigheid van zulke verdere bewaring grondig hebben onderzocht en oordelen dat verdere bewaring gerechtvaardigd is omdat zulks noodzakelijk is met het oog op het voorkomen, opsporen en onderzoeken van witwassen of terrorismefinanciering. Die langere bewaringstermijn duurt niet langer dan vijf extra jaren.
De in dit lid bedoelde bewaringstermijn, met inbegrip van de verdere bewaringstermijn van maximaal vijf extra jaren, is ook van toepassing op gegevens die toegankelijk zijn via de in artikel 32 bis bedoelde gecentraliseerde mechanismen.