ABN Amro mag onbewerkte kopie van identiteitsdocument toch opslaan

ABN Amro mag een foto of scan van een onbewerkt identiteitsdocument toch opslaan, aangezien dit niet in strijd met de AVG is, las ik bij Security.nl. De beroepscommissie van het financiële klachteninstituut Kifid oordeelde anders dan de klachtenuitspraak van vorig jaar, waarin het vastleggen en bewaren van een kopie van dit ID-bewijs juist sterk aan banden werd gelegd.

Achterliggende discussie is dat wie bij een bank zit, met enige regelmaat een kopie ID moet overleggen. Dit in verband met anti-witwaswetgeving (de Wet ter voorkoming van witwassen en financieren van terrorisme, Wwft) waarbij “ken je klant” en bewijzen dat je goed hebt gecontroleerd centraal staat. Dat die hele wetgeving niets oplevert behalve een pak bureaucratie daar gaat niemand over, maar dat terzijde.

In de uitspraak van vorig jaar werd bepaald dat om die wettelijke reden de bank dus een onbewerkte kopie (geen watermerk en geen uitgestreepte dingen) mag eisen. Echtheidskenmerken kunnen zijn afgeschermd of verminkt door zo’n bewerkte kopie. En omdat een bank wettelijk verplicht moet toetsen aan die kenmerken, moet de bank dus een originele, volledige kopie van het identiteitsbewijs hebben. Fair enough, maar hoezo mag de bank die kopie dan ook nog bewaren?

Het bewaren van bewijs van die verificatie is geregeld in artikel 33 Wwft. Alleen: pasfoto en echtheidskenmerken zijn nu niet meer relevant, want de check is al gedaan. Dit moet de bank dus afschermen bij het opslaan van de kopie, aldus het Kifid vorig jaar. Maar daar komt men in de interne beroepsprocedure dus op terug, met de voor mij gekunstelde argumentatie dat

Het bewaren van het onbewerkte identiteitsdocument heeft immers (onder meer) tot doel om aan te tonen dat dit cliëntenonderzoek heeft plaatsgevonden overeenkomstig de wettelijke eisen. … [ook] omdat aan de hand daarvan de toezichthoudende autoriteiten kunnen vaststellen of de bank haar wettelijke verplichtingen in het kader van het cliëntenonderzoek heeft nageleefd.
Dit zie ik als de klassieke fout: ja, je moet kunnen bewijzen dat je de identificatieprocedure hebt uitgevoerd, maar nee het is niet noodzakelijk dat je daarvoor de kopie ID laat zien. Als je conform procedure de ID hebt gezien en de bij jou benodigde gegevens hebt overgenomen, inclusief het nummer van het identiteitsbewijs, dan heb je bewijs genoeg dat je het ID hebt gezien. Hoe kom je anders aan die gegevens? Het bewaren van de ID is daarmee een bovenmatige stap. Ik dacht dat we deze discussie al gehad hadden?

Arnoud

29 reacties

    1. Iedereen ‘gaat’ over de AVG in de zin dat ze er een mening over mogen geven. De Rijdende Rechter doet ook wel eens uitspraken over de AVG. En de klachten+beroepscommissies van het Kifid doen bovendien bíndende uitspraken, als jij een geschil hebt met een financieel instituut dan is hun uitspraak bindend voor jou en het instituut. Als de AVG daarin een rol speelt dan mag het Kifid daar uitspraak over doen. Dat is toch niet raar?

      1. Een bindende mening waar menigeen – waaronder jijzelf, als ik het goed begrijp – vraagtekens bij zet. Jouw stelling dat het bewaren van een kopie ID een bovenmatige stap is staat lijnrecht tegenover de Kifid-uitspraak.

        Wat maakt dat het niet voldoende bewijs is als een medewerker – die de eed of belofte heeft afgelegd – de relevante documenten heeft ingezien en gegevens heeft overgenomen en vinkje zet bij ‘identificatie voltooid?

      2. Ik snap dat de uitspraak in deze zaak bindend is, echter wanneer een dergelijke uitspraak strijdig zou zijn met de wet of uitspraken van de AP (al is dat in casu misschien niet zo), dan krijg je toch een gekke situatie?

          1. De Rechtbank Amsterdam heeft bij vonnis bepaald dat de uitspraak van de Rijdende Rechter, het bekende televisieprogramma over de rechter die ter plaatse komt en een uitspraak doet over de zaak, een bindend advies is. Dit advies kan alleen worden vernietigd als het zeer gebrekkig gemotiveerd is of er fundamentele beginselen van het procesrecht zijn geschonden.

            Dus een advies, maar wel één om rekening mee te houden

            ECLI:NL:RBAMS:2013:7984

      3. De Kifid heeft deze uitspraak gedaan en daar moeten de banken zich aan houden. Kan vervolgens de AP aankloppen, zeggen dat het opslaan van onbewerkte kopieën niet mag en een boete aan de banken opleggen? (Waar de banken het vervolgens niet mee eens zijn en komt dit alles alsnog voor de rechter.)

        1. Kortweg: Ja, deze uitspraak is alleen bindend voor de partijen in het geschil. Ook de uitspraak van een (civiele) rechter is alleen bindend voor de partijen in het geschil, maar het is natuurlijk onverstandig om jurisprudentie te negeren.

      1. Toch apart,want toen ik mij gegeven zelf wilde inzien kwamen ze gewoon met zo’n a4 kantoor map waar ik dus ook gegevens van anderen kon zien. Was niet de bedoeling uiteraard. Waar ik bij was werd gewoon door de map gebladerd tot ze bij mijn gegevens waren.

        Eerlijk gezegd was ik niet echt onder de indruk van het materiaal, eerder puinhoop….maar dat is my2cts

        Dus per definiet word het opgeslagen en niet echt beveiligd, of je moet de de bank, in de openbare ruimte, veilig genoeg vinden.

        1. Ik moet zeggen dat het idee van fysieke mappen met unieke exemplaren bewaard in een ouderwetse kluis in een bankgebouw me een betere beveiliging lijkt dan welk Uw Mijn Jouw Portaal dan ook, ongeacht hoe veel ISO en andere acroniemen daar van beveiligingsstandaarden daarbij genoemd worden. Ik geef toe: wel omslachtiger.

          1. Mee eens, maar je vergeet even de openbare ruimte waar ze de map gewoon ‘even’ liet liggen om een pen te pakken. Ik hoefde maar op te staan en weg te lopen ….met medeneming van … Verkeerd vertrouwen.

            En omslachtiger ? een kopie maken en in een map doen. Want een bank mag dat. en terug opzoeken is idd lastiger, maar wanneer gebeurd dat. Mocht dat veel tijd en geld gaan kosten dan kunnen ze daar altijd nog een procedure aan hangen, en kosten in rekening brengen

            Ik houw wel van simpele maar effectieve oplossingen.

            Niet zoals de VS honderd duizenden dollars uitgeven om een pen te maken die in de ruimte werkt. Russen we gebruiken een potlood, probleem opgelost.

            1. Niet zoals de VS honderd duizenden dollars uitgeven om een pen te maken die in de ruimte werkt. Russen we gebruiken een potlood, probleem opgelost.

              Het doet aan je argument zelf niets af, maar dit is een broodje aap verhaal. Die pen is gewoon ontwikkeld door een bedrijf (Fisher Pen Company) en wordt door NASA gekocht voor een dollar of honderd of zo per stuk, en de Russen hebben nooit een potlood gebruikt (wel een soort wasco krijtjes) omdat daar kleine deeltjes grafiet van af komen en die zijn electrisch geleidend en kunnen door de gewichtloosheid in apparatuur terecht komen.

              1. Geen broodje aap verhaal. De ontwikkelingskosten van ongeveer een miljoen dollar werden volledig door Fisher zelf betaald, is dat een VS bedrijf of niet? Inventor and Pen Manufacturer, Paul C. Fisher, founds Fisher Pen Company in Chicago, Illinois.

                BTW de space pennetjes kan je gewoon kopen v.a. 36 dollar exclusief verzend kosten tussen de 6 en 45 dollar.

          2. Omslachtiger sowieso (tot de batterij van de laptop leeg is of je je MFA-token vergeet). Maar papier en veiliger?

            Papier is minder makkelijk massaal te doorzoeken of misbruiken. Voor individuen juist makkelijker. Inzage van het medisch dossier van Barbie was nooit opgevallen op papier – en die twee agenten die info doorspeelden aan drugscriminelen (https://tweakers.net/nieuws/206700/agenten-veroordeeld-voor-doorspelen-informatie-uit-politiesystemen.html) ook niet.

            Veiliger zou ik het sowieso niet noemen als men die map gewoon meesjouwt. Een kopietje is zo gemaakt, al was het via de smartphonecamera met OCR. En er is nul logging wie wat waar waarom naar huis meeneemt. Zeker niet als er een hele map H-K wordt meegenomen als alleen het dossier van dhr Janssen nodig is.

            En een backup heb je ook al niet.

            1. quote/ een backup heb je ook al niet/quote Dat kan jij niet zien aan een a4 map, maar banken kennende, en dat doe ik, idd geen back up. Net als heel veel hele grote bedrijven geen backup hebben van hun data, of als ze die wel hebben die naast de server licht, breek mij de bek niet open. Of de middenstanders die hun server in de WC hebben hangen…

              Tot ze de backup gister nodig hebben omdat de zaak dan gewoon stil ligt.

              Heb hier nog oude een case liggen waar ik aan meegewerkt heb over een biermerk uit het oosten van het land Ja je gok zal goed zijn, maar die hadden ruim een week omzet verlies, kosten: 4 containers met computers als werkplekken ,tijdelijk extern personeel. Ze vonden het niet nodig, nu wel.

              Er moet eerst wat gebeuren, want GOEDE backup is kostbaar en tijdrovend, en word zelden meegenomen in een begroting. Mede daardoor al die clouddiensten / andermans computer.

      2. Dat is niet helemaal waar, ze zeggen dat ze de gegevens van een kopie of scan van een identiteitsbewijs mogen inlezen, niet dat ze de kopie of scan zelf op mogen slaan.

        Ik lees op de site:

        Mag een bank, creditcardmaatschappij, verzekeraar, notaris of casino een kopie van mijn identiteitsbewijs maken? Ja, dat mag. Banken, creditcardmaatschappijen, verzekeraars, notarissen, casino’s en andere aangewezen partijen zijn namelijk verplicht de identiteit van hun klanten vast te stellen. Dit staat in de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). Om te bewijzen dat ze aan deze plicht hebben voldaan, mogen deze organisaties een kopie (of een scan of foto) van uw identiteitsbewijs maken of aan u vragen.

        Bewaren kopie identiteitsbewijs Banken, verzekeraars en andere in de Wwft aangewezen partijen moeten de kopie van uw identiteitsbewijs nog 5 jaar bewaren nadat u geen klant meer bent.

  1. En als er vervolgens een datalek of ander misbruik is en al deze kopieën komen op straat te liggen, dan gaat de AP weer een campagne opstarten over hoe men gegevens kan afschermen op kopietjes die ze afgeven. Ook nu nog zegt de overheid dat je je BSN MOET doorstrepen en erop moet schrijven dat het een kopie is voor instantie X met een datum. Ze hebben hier zelfs een app voor.

    Ervan uitgaande dat dit soort bedrijven (bank, creditcardmaatschappij, verzekeraar, notaris of casino) aan strenge eisen moeten voldoen voor het opslaan van deze gegevens. Moeten ze dan alsnog schade vergoedingen betalen aan personen als de gegevens alsnog lekken?

    Of valt dit onder de algemene regel dat de burger dan moet bewijzen dat de gegevens van dat specifieke lek afkomen, niet ergens anders vandaan en vervolgens hoeveel schade hij precies heeft geleden van al die blafbrieven en incassobureaus aan de deur omdat iemand identiteitsfraude heeft gepleegd.

    Normaal kan je de afkomst van de data bewijzen doordat je op de foto hebt geschreven waarvoor het bedoeld is, maar dat mag nu kennelijk niet meer. Ik zou hopen dat de bewijslast omgekeerd wordt als de burger zich niet mag verdedigen met een van de weinige effectieve middelen.

  2. Anders dan vaak wordt gedacht, mag een geschillencommissie die is aangewezen als buitengerechtelijke geschillencommissie in de context van EU richtlijn 2013/11 in een vaststellingsovereenkomst (vso) niet afwijken van dwingend recht, omdat art. 7:902 BW niet van toepassing is op die vso.

    Zie art. 10 Implementatiewet buitengerechtelijke geschillenbeslechting consumenten, het Besluit aanwijzing geschilleninstanties Wft en het Aanwijzingsbesluit Stichting Geschillencommissies voor Consumentenzaken, het Aanwijzingsbesluit huurcommissie en het Aanwijzingsbesluit geschilleninstantie Zorgverzekeringswet.

    http://wetten.overheid.nl/jci1.3:c:BWBR0036550&hoofdstuk=2&artikel=10

    https://wetten.overheid.nl/BWBR0036800/2015-07-09

      1. Een overeenkomst (of deel daarvan) in strijd met de wet is nietig (art. 3:40 lid 2 BW). Een vso in strijd met dwingend recht is enkel mogelijk op grond van art. 7:902 BW, maar juist art. 7:902 BW is niet van toepassing op een vso van een aangewezen geschillencommissie. Er hoeft dus niets vernietigd te worden (art. 7:904 BW) als de vso van een aangewezen geschillencommissie afwijkt van dwingend recht, want het is eenvoudig weg niet mogelijk om af te wijken van dwingend recht in die vso.

        De Rijdende Rechter is daarentegen niet aangewezen als buitengerechtelijke geschilleninstantie, en kan dus wél afwijken van dwingend recht. Evenals bijvoorbeeld een werkgever of werknemer. Ik denk daarom dat het beter is om de vergelijking met een vso van bijvoorbeeld de Rijdende Rechter achterwege te laten als het aankomt op een vso van een aangewezen geschillencommissie, want er is een wezenlijk verschil tussen die twee.

        1. Er zit voor mij een wezenlijk verschil tussen “strijd met dwingend recht” en “deze uitspraak over een wetsartikel is betwistbaar onjuist”. Daarbij weegt voor mij ook zwaar dat het hele punt van bindend advies is dat je op een andere manier je geschil wilde beslechten, en dat je dus niet té makkelijk alsnog naar de burgerlijke rechter moet kunnen omdat de uitspraak je niet bevalt. Ik zou dus een beroep op 3:40 BW zéér terughoudend toekennen, en ik vind deze Kifid-uitspraak niet zodanig ernstig dat ik ‘m nietig vindt.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.