Financiële instellingen en andere ondernemingen die criminaliteit moeten bestrijden [1] zijn verplicht om de identiteit van hun klanten verifiëren. Bij financiële instellingen gebeurt dat op een juridisch onjuiste en voor de klanten onveilige manier, zo constateerde ik al eerder [2].
Inmiddels is er in de juridische literatuur aandacht aan besteed. Promovendus Danny Mekić schreef het artikel ‘Het opslaan van kopieën van legitimatiebewijzen, foto’s en video’s van cliënten: de grenzen van de Wwft-reconstructieplicht in het licht van fundamentele rechten‘, P&I [3]. Hij wijst op de grote risico’s verbonden aan het kopiëren van identiteitsbewijzen:
Uit onderzoek naar meldingen van identiteitsfraude in opdracht van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties blijkt dat de identiteitsfraude het vaakst voorkomt met kopieën van legitimatiebewijzen (38%).
Hij constateert dat de Wwft niet voorschrijft dat kopieën van identiteitsbewijzen moeten worden opgeslagen en oneindig worden bewaard [4]. Er kan worden volstaan met het noteren van de wettelijk vereiste gegevens. Evenmin is er in de Wwft een grondslag voor het bewaren van foto’s en audio- en video-opnamen van klanten [5]. Door het bewaren worden de privacy- en gegevensbeschermingsrechten van klanten geschonden, aldus Mekić. Ook weerspreekt hij de veronderstelling van sommige financiële instellingen dat er altijd een geldig identiteitsbewijs in het dossier moet zitten.
Mekić wijst er op dat de risico’s van de gegevensverzamelingen van financiële instellingen door de ontwikkelingen in de techniek steeds groter worden:
Met de snelle ontwikkeling van kunstmatige intelligentie, zoals deep fake-technologieën, wordt deze dreiging steeds groter en reëler.
Tot slot
Het artikel onderstreept de waarschuwing aan DNB die Privacy First in december vorig jaar gaf in haar consultatiebijdrage [6]. In hun artikel schreven ze:
Kopietje paspoort
De wijze waarop financiële instellingen de identiteit van hun cliënten, vertegenwoordigers en uiteindelijk belanghebbenden verifiëren veroorzaakt veel problemen. Privacy First wijst er in de reactie op dat de wet niet verplicht tot het maken, opslaan en langdurig bewaren van kopieën van identiteitsbewijzen en adviseert DNB hier een verbeterde aanpak aan de financiële instellingen voor te stellen.
Noten
[1] Op grond van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft).
[2] Zie mijn artikelen over heridentificatie, onder meer Hoe financiële instellingen de AVG overtreden door kopieën van identiteitsbewijzen te lang en op onjuiste wijze te bewaren.
[3] P&I (februari 2024). Achter betaalmuur, onder meer hier aangekondigd.
[4] Dit is in de praktijk bij de meeste financiële instellingen het geval omdat de bewaarplicht pas vijf jaar na het eindigen van de klantrelatie stopt.
[5] Financiële instellingen verkondigen het fabeltje dat hun behoefte aan foto’s, video en audio is gebaseerd op de Wwft. Misschien dat er een andere grondslag is, maar dat zal dan wel goed onderbouwd moeten worden, zie ook de opmerking van Mekić op de laatste pagina van het artikel.
[6] Zie mijn blog dat verwijst naar het artikel van Privacy First over de consultatiedeelname.
Ellen Timmer - juridische artikelen en berichten 
U blijft terecht waarschuwen maar helaas blijven de betreffende organisatie’s hun eigen gang gaan. Idem dito KvK, gemeenten en belastinginning waterschappen: overal moet een copie van ID toegevoegd worden om te bewijzen dat de handtekening ook overeenstemt met ID.
Daarbij gaat men ervan uit dat criminelen geen copie kunnen hebben van ID. Een grove misvatting. k Heb zelf meegemaakt dat post niet aankomt – waar is inhoud van brief gebleven?
Men mag ook alle vertrouwelijke info mailen naar < info@gemeente.nl > of uploaden. Wie kan allemaal bij de mail of geuploade stukken?
Ik breng tegenwoordig post met vertrouwelijke stukken zelf maar naar KvK of gemeente. En moet er maar op vertrouwen dat de uitzendkracht achter balie of in al dan niet elektronische postkamer de stukken niet achterover drukt of niet copieert. Overheid heeft haar screening niet op orde zie Opnieuw aangifte GGD tegen ex-medewerkers om valse vaccinatiebewijzen (nos.nl)
Uiteraard zijn de meeste ambtenaren betrouwbaar, het gaat om die ene die flink geld verdient door niet betrouwbaar te zijn.
De enige oplossing is wat u telkens adviseert: niet overal een ID-kopie voor vragen. Erop vertrouwen dat ID is gezien. Als overheid zelf het risico nemen in plaats van risico van identiteitsfraude bij burger te leggen. Ook organisaties als banken en KvK moeten niet belast worden met heel veel persoonsgegevens in haar systemen.
Dank voor de reactie!
In de huidige tijd met de toegenomen digitalisering nemen de risico’s rondom kopieën van identiteitsbewijzen, maar ook rondom foto’s (lees deze waarschuwing over kinderfoto’s) exponentieel toe.
Organisaties als banken en de KvK zullen wel moeten identificeren (de identiteit verifiëren), maar dat zal veel veiliger moeten. Aan de huidige kopietje-paspoort-praktijk moet een einde komen. Het zou kunnen betekenen dat er weer meer fysieke vestigingen moeten komen waar mensen zich fysiek kunnen identificeren.
Journalist Olsthoorn schreef voor IEX een artikel over kopietje paspoort. Ik kom er ook in voor, als woordvoerder van Privacy First.