Op 21 februari jl. bracht de procureur-generaal (PG) bij de Hoge Raad advies uit inzake een geschil op het gebied van het cliëntenonderzoek in de witwasbestrijding. Het betreft cassatie van de uitspraak van Hof Amsterdam van 5 maart 2024, ECLI:NL:GHAMS:2024:419. Onder meer gaat het over verificatie van de identiteit door de financiële instelling (ICS) die dat cliëntenonderzoek uitvoert.

Identificatie is een van de meest riskante activiteiten die iedere burger uitvoert en was aanleiding voor Privacy First om een verzoek aan de minister van Financiën en DNB te doen.

In de door de PG besproken zaak gaat het volgens zijn beschrijving om het navolgende (1.4):

Het middel betoogt in de eerste plaats dat het door ICS toegepaste (her)identificatieproces de verwerking van biometrische gegevens behelst, wat in beginsel verboden is op grond van artikel 9 van de Algemene verordening gegevensbescherming (hierna: AVG).2 Het middel betoogt in de tweede plaats dat artikel 33 van de Wwft aan financiële ondernemingen geen wettelijke grondslag biedt voor het bewaren van een kopie van een identiteitsbewijs met pasfoto. ICS bestrijdt deze beide stellingen. Zij meent verder dat [eiser] geen belang heeft bij haar klachten.

2 Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119).

De PG adviseert het cassatieberoep te verwerpen.

Jammer genoeg gaat het advies alleen over de vraag of een witwasbestrijdingsplichtige een kopie van het identiteitsbewijs mag of moet maken en niet over de grote risico’s die aan deze praktijk is verbonden, nu witwasbestrijdingsplichtigen alle kopieën denken te moeten bewaren tot vijf jaar na het einde van de relatie, wat bij langdurige relaties grote cybersecurity risico’s oplevert. Die risico’s nemen verder toe als er grote hoeveelheden biometrische gegevens worden geregistreerd en langdurig bewaard. (Dat zal met de voorafgaande procedure en de cassatiemiddelen te maken hebben.)

De PG is van mening dat hier geen sprake is van verboden verwerking van biometrische gegevens. Ook als hij gelijk zou hebben laat dit onverlet dat ook in de witwasbestrijding aan dataminimalisatie moet worden gedaan.

Als de PG gelijk heeft, is het hoog tijd dat er wetgevende maatregelen komen om het excessief verzamelen van identiteitsbewijzen en biometrische gegevens door witwasbestrijdingsplichtigen in te perken.