Verificatie van de identiteit van je wederpartij – iets wat privaatrechtelijk al nodig is bij langer durende relaties – is tot een van de kernactiviteiten benoemd in de private criminaliteitsbestrijding (ook bekend als ‘witwasbestrijding’, gebaseerd op de antiwitwaswet Wwft).

Zeer zorgelijk is dat daarbij door financiële instellingen (FI’s) zonder grondslag in de Wwft wordt gehandeld, zie mijn eerdere artikelen [1], onder meer op het gebied van de bewaarplicht. Kenmerkend voor private criminaliteitsbestrijding is dat grondrechten van burgers worden geschonden door FI’s vanwege de controlebehoefte van de overheidstoezichthouders (DNB, AFM). Die overheidstoezichthouders lijken alleen aan zichzelf te denken, zo kan uit de recente Kifid-uitspraak [1] worden afgeleid.

Aan de risico’s voor de klanten wordt door de FI’s en DNB/AFM geen aandacht besteed.

Te lang bewaren

Opvallend in beide zaken is dat de FI’s veronderstellen dat zij de kopieën van identiteitsbewijzen (ID’s) zeer langdurig mogen bewaren. Als voorbeeld volgt hier een recente opgave door een Nederlandse grootbank:

Er wordt hier gesproken over een bewaartermijn van zeven jaar na het eindigen van de klantrelatie, terwijl in de Wwft staat dat de bewaartermijn van de gegevens van het Wwft-klantenonderzoek maar vijf jaar is [2]. Dus zeven jaar is zeker te lang. Zeven jaar is vermoedelijk de termijn uit het Burgerlijk Wetboek dat rechtspersonen de gegevens inzake hun vermogenstoestand moeten bewaren [3]. Daartoe behoren niet de ID’s van de klanten.

Nog erger is dat de kopie-ID niet bewaard hoeft te worden.

De Wwft schrijft geen kopie-ID voor

Bij de Wwft-termijn kan worden aangetekend dat de Wwft niet voorschrijft dat het kopie ID zo lang wordt bewaard, dat is uit deze bepaling af te leiden:

In lid 2 staat onder a. 1° dat bepaalde gegevens moeten worden geregistreerd (geslachtsnaam e.d.) of dat een kopie ID mag worden opgeslagen.  In onderdeel 2° staat dat bepaalde gegevens van het ID moeten worden geregistreerd.

Conclusie: de Wwft schrijft niet dwingend voor dat een kopie-ID moet worden opgeslagen en een beroep op ‘gerechtvaardigd belang’ zal de FI’s ook niet baten. Dat betekent dat de FI’s in het kader van hun dataminimalisatieplicht op grond van de AVG het kopie van de ID zo spoedig mogelijk moeten verwijderen en dat hun toezichthouders (DNB, AFM) hen daartoe in staat moeten stellen.

De FI’s kunnen hun klanten en daarbij betrokkenen wel vragen om toestemming voor het langdurig bewaren van ID’s, maar dienen zich te realiseren dat die toestemming kan worden ingetrokken.

Beveiligde kanalen

Opvallend is dat artikel 33 Wwft in leden 4 en 5 voorschrijft dat er beveiligde kanalen moeten zijn voor communicatie van de Wwft-plichtige met FIU-Nederland. Vreemd genoeg acht de wetgever die beveiligde kanalen niet nodig bij de communicatie met de klant.

Ernstige overtreding van de AVG

Hier is sprake van een ernstige overtreding van de AVG, zowel door de financiële toezichthouders als door de FI’s, die een handhavend optreden van de Autoriteit Persoonsgegevens (AP) rechtvaardigt.

Wellicht kan de AP dan ook aandacht besteden aan de te brede interpretatie door FI’s van het begrip ‘uiteindelijk belanghebbende’ (ubo), wat er toe leidt dat men ten onrechte persoonsgegevens van personen registreert die geen ubo zijn.

Noten

[1] Zorgelijk is dat zowel Kifid als de rechtbank onjuiste uitspraken hebben gedaan, zie de berichten over Kifid en de Rechtbank Amsterdam.

[2] Zie artikel 33 lid 3 Wwft: “Een instelling bewaart de in het eerste en tweede lid bedoelde gegevens op toegankelijke wijze gedurende vijf jaar na het tijdstip van het beëindigen van de zakelijke relatie of gedurende vijf jaar na het uitvoeren van de desbetreffende transactie.”

[3] Artikel 10 boek 2 Burgerlijk Wetboek.