Banken mogen onbewerkte ID zien, maar alleen gewatermerkt (en zonder bsn/foto) bewaren

Voor het (opnieuw) identificeren en verifiëren van de identiteit van de consument mag de bank een foto of scan van een onbewerkt ID-bewijs opvragen. Dat bepaalde geschillencommissie Kifid onlangs. Echter, voor het vastleggen en bewaren van een kopie van dit ID-bewijs moet de bank de pasfoto afschermen en een watermerk aanbrengen om misbruik te voorkomen. Deze uitspraak zet een mooie streep in het zand, die hopelijk ook werkelijk gaat leiden tot herziene procedures. (Ik ben altijd wat cynisch over bureaucratische procesvernieuwing.)

Even voor de duidelijkheid: het Kifid is een geschillencommissie, waar alle banken wettelijk verplicht bij aangesloten zijn. De uitspraken van het Kifid moeten zij dus opvolgen. En dat zou goed nieuws zijn – deze uitspraak is zo logisch dat ik ‘m als modelantwoord zou gebruiken bij onze opleiding tot privacyjurist.

De kern: wie bij een bank zit, moet met enige regelmaat een kopie ID overleggen. Zeker nu moet dat vrijwel altijd digitaal, en soms zelfs via de e-mail. Daar krijg ik veel vragen over, maar in de kern moet dit want in verband met anti-witwaswetgeving (de Wet ter voorkoming van witwassen en financieren van terrorisme, Wwft) is identiteitscontrole van je klanten verplicht.

Daar zit meteen ook het punt, want het gaat om verifiëren van iemands identiteit (artikel 3 Wwft). De ouderwetse methode is dan dat iemand naar de balie komt (haha, een balie van een bank, stel je voor, in een toegankelijk gebouw zeker) en daar zhaar identiteitsbewijs laat zien. De medewerker kijkt daarnaar, controleert de echtheidskenmerken en vergelijkt de foto. Als alles in orde is, zet de medewerker een vinkje bij “verificatie in orde” en we zijn er.

Dit verklaart waarom een bank een onbewerkte (dus niets afgeschermd en geen watermerken) kopie van een identiteitsbewijs mag eisen. Echtheidskenmerken kunnen zijn afgeschermd of verminkt door zo’n bewerkte kopie. En omdat het wettelijk verplicht is te toetsen aan die kenmerken, moet de bank dus een originele, volledige kopie van het identiteitsbewijs hebben.

Er is echter nog een plicht, namelijk het bewaren van zekere bewijsstukken van die verificatie. Dit is geregeld in artikel 33 Wwft, en de bank beroept zich daarop om die kopie identiteitsbewijs te mogen bewaren. Dat is verdedigbaar, want de wet noemt een “afschrift” van je identiteitsbewijs als iets dat moet worden bewaard. Alleen: pasfoto en echtheidskenmerken zijn nu niet meer relevant, want de check is al gedaan. Dit moet de bank dus afschermen bij het opslaan van de kopie.

En het Kifid gaat nog een stapje verder: de bank moet actief de kopie voorzien van een watermerk of iets dergelijks, zodat bij een datalek de kopie niet zomaar gebruikt kan worden. Doet zij dat niet (de ABN Amro had hier gesteld dat dit onmogelijk was) dan mag ze de kopie niet bewaren, want dat is te onveilig voor de consument.

De discussie over het bsn is ook nog het vermelden waard. Het bsn staat op het identiteitsbewijs, maar de Wwft schrijft niet voor dat de bank dit moet gebruiken bij die identiteitscontrole. (Zorgverleners en zorgverzekeraars bijvoorbeeld wel.) En als het niet moet, dan mag het niet.

Althans, niet in het kader van de Wwft-verificatie. De bank is wél verplicht het bsn te gebruiken in de communicatie met de Belastingdienst (Algemene wet inzake rijksbelastingen) en de DNB (het depositogarantiestelsel). Op die wettelijke grond moet de bank dus het bsn opvragen, en dat mag best tijdens dat verificatieproces gebeuren. Daarom hoeft de bank het bsn niet af te schermen, mits ze maar wel de consument uitlegt waarom ze dat niet doet.

Dit stukje snap ik niet helemaal, want je kunt prima na de verificatie – dit is het bsn van Wim – het bsn apart opslaan en het daarna op de kopie onleesbaar maken. Die Awr en DNB-regels eisen namelijk niet dat je een kopie identiteitsbewijs moet kunnen tonen om aan te tonen dat je het juiste bsn had. En het is wel een serieus risico als een bsn uitlekt. Maar goed.

Samenvattend: De consument mag niet schrijven op de foto of scan die zij aanlevert ter identificatie. Zij mag wel van de bank eisen dat de kopie die zij vastlegt en bewaart bewerkt wordt. En de bank weet nu dat die bewerkte kopie voldoet aan de Wwft.

Arnoud

 

 

 

 

18 reacties

  1. Ik vind dit onbegrijpelijk.

    Men had ook kunnen stellen dat de consument wel mag watermerken, zolang dit maar niet ten koste gaat van de leesbaarheid van de gegevens. Ik vind het wel rustgevend dat ik “kopie voor ABN Amro” over mijn ID scan gephotoshopped heb. Er zijn genoeg gevallen bekend waar dit mis ging wanneer het aan de andere partij werd overgelaten.

  2. Maar, wat kan ik als simpele consument doen om deze uitkomst/uitspraak (Wat is de term in deze?) op dit moment te controleren en eventueel af te dwingen bij mijn huidige bank? Kan ik überhaupt controleren, met de AVG in de hand, welke documenten de bank van mij bezit? Want het is mooi dat dit soort ‘uitspraken’ er zijn, maar ik vind het altijd lastig om te weten hoe ik er persoonlijk iets mee kan doen.

    1. Ik meen dat de AVG inderdaad een inzagerecht geeft: je kan bij elke instantie opvragen welke persoonsgegevens die van jou heeft. Ik vermoed dat betoogd kan worden dat in dat kader ook opgegeven moet worden welke kopieën van welke documenten de instantie van jou heeft, en wellicht dan zelfs ook die kopieën moet tonen?!

  3. Per e-mail is toch een no-go lijkt me? Ik ga binnenkort met mijn zoon naar de balie van de ING, want ze zijn z’n ID kwijt denk ik. Alternatief is e-mail, maar dat lijkt me veel te onveilig, of heb ik dat mis?

      1. Bij de ABN-AMRO kan dat inderdaad via de App. Mijn kopie paspoort met een groot customized, transparant watermerk er door heen werd gewoon geaccepteerd. Ik zou zeggen stuur gewoon by default mét dat watermerk. Wat is daar mis mee? Als ze het er niet mee eens zijn dan keuren ze het maar af of nemen ze maar contact met je op. Als ze het accepteren, is het dan niet hún risico geworden dat de kopie niet voldoet aan de eisen?

        Waarom men zeurt over kwaliteitsverlies door watermerken is mij een raadsel. Al bij het scannen gaat er het nodige aan kwaliteit verloren. Al sla je op in 300DPI en in een lossless formaat als bitmap, dan nog zitten er scanning artifacts (meestal horizontale lijnen) in. Daarna volgt geheid nog een lossy compressie zoals JPEG, waarbij er nog veel meer verloren gaat. Zeker als je parameters op een hogere compressieratio staan.

        1. Bij aanvragen van een telefoonabonnement bij Belsimpel werd de scan van mijn rijbewijs met afgeschermde BSN geweigerd. Toen ik daarop antwoorden met nota bene hun eigen algemene voorwaarden waarin staat dat dat toegestaan was, werd het gelukkig wel geaccepteerd. Altijd blijven proberen dus!

  4. ¨controleert de echtheidskenmerken en vergelijkt de foto” . Het ontgaat mij hoe je op een kopie alle echtheidskenmerken (watermerk, 3D foto, kinegram etc.) kan vaststellen, laat staan de foto kan vergelijken met degene die de kopie mailt.

    1. Dat is wat tegenwoordig dus wel de trend is, bijvoorbeeld om de identiteit van een klant to koppelen aan de bankieren-app die de klant gebruikt. De app van de bank maakt van het gezicht van de (aspirant) klant en zijn ID bewijs een filmpje, waarbij die klant gevraagd wordt zijn hoofd naar links en rechts te draaien, en een aantal fotos van het ID onder verschillende hoeken. Software kan dan de foto op het ID analyseren, en vergelijken met het gezicht in het gemaakte filmpje, een aantal echtheidskenmerken (kinegram, etc.) controleren, en ook dat de persoon in het filmpje dus een echte, levende persoon is, en dat er niet iemand naast of achter staat die de persoon het mes op de keel zet. Normaal gesproken gaat dit automatisch, maar in geval van twijfel kan ook een mens er naar kijken. Nadat in dit proces de identiteit van de persoon is bevestigd, kunnen de filmpjes en foto’s weg.

  5. Huh. Het Kifid mag wel iets willen. Maar is dat ook gestoeld met richtlijnen van de overheid?

    Ik heb dit afgelopen week nog uitgezocht voor het openen van een account bij een ‘digital bank’. Toen vond ik ergens (nu heb ik helaas geen tijd dat op te zoeken, ik probeer vanavond nog een reactie toe te voegen) toch netjes beschreven dat ik ook bij het aanleveren naar een bank een watermerk op mijn ID-bewijs mocht plaatsen. Zolang alle belangrijke velden maar duidelijk zichtbaar blijven.

    Dat is ook netjes geaccepteerd.

    1. Zie de uitklap bij “Mag ik iets op een kopie van mijn identiteitsbewijs schrijven?” op deze pagina van het Autoriteit Persoonsgegevens:

      Ja, dat mag. U heeft altijd het recht om een tekst door de kopie van uw identiteitsbewijs heen te schrijven. Zo beschermt u de kopie tegen identiteitsfraude.
      en
      Let op: alle persoonsgegevens (zoals de foto en het BSN) op de beschreven kopie moeten leesbaar zijn. Ook de foto moet voldoende zichtbaar zijn om u te kunnen identificeren.

      Nu kan het Kifid veel willen zeggen. Maar tegen het AP ingaan kunnen ze neem ik aan niet.

    1. Zoiets doe ik ook al jaren, maar dan met Affinity Photo (voor niet-kenners: iets als Photoshop): semi transparante rode tekst over het hele ID heen waarmee wordt beschreven aan wie de kopie is uitgereikt en de datum van uitreiking. Als foto en/of BSN nummer niet nodig, dan wordt die met een aparte laag gescrambled. Export naar JPEG en vooralsnog geen problemen mee bij banken enz.

  6. De onbewerkte ID via de mail opsturen, betekent dat deze onbewerkte kopie wel degelijk (tijdelijk) bewaard wordt op mailservers tijdens het transport en na ontvangst voor de controle voordat de bank, als het aan de bepaling van het Kifid voldoet, gewatermerkt en met afgeschermde foto opslaat. Iemand die toegang heeft tot deze (tijdelijke) opslag, heeft de beschikking over deze onbewerkte kopie. Dat is dus inherent onveilig.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.