Banken mogen onbewerkte ID zien, maar alleen gewatermerkt (en zonder bsn/foto) bewaren

Voor het (opnieuw) identificeren en verifiëren van de identiteit van de consument mag de bank een foto of scan van een onbewerkt ID-bewijs opvragen. Dat bepaalde geschillencommissie Kifid onlangs. Echter, voor het vastleggen en bewaren van een kopie van dit ID-bewijs moet de bank de pasfoto afschermen en een watermerk aanbrengen om misbruik te voorkomen. Deze uitspraak zet een mooie streep in het zand, die hopelijk ook werkelijk gaat leiden tot herziene procedures. (Ik ben altijd wat cynisch over bureaucratische procesvernieuwing.)

Even voor de duidelijkheid: het Kifid is een geschillencommissie, waar alle banken wettelijk verplicht bij aangesloten zijn. De uitspraken van het Kifid moeten zij dus opvolgen. En dat zou goed nieuws zijn – deze uitspraak is zo logisch dat ik ‘m als modelantwoord zou gebruiken bij onze opleiding tot privacyjurist.

De kern: wie bij een bank zit, moet met enige regelmaat een kopie ID overleggen. Zeker nu moet dat vrijwel altijd digitaal, en soms zelfs via de e-mail. Daar krijg ik veel vragen over, maar in de kern moet dit want in verband met anti-witwaswetgeving (de Wet ter voorkoming van witwassen en financieren van terrorisme, Wwft) is identiteitscontrole van je klanten verplicht.

Daar zit meteen ook het punt, want het gaat om verifiëren van iemands identiteit (artikel 3 Wwft). De ouderwetse methode is dan dat iemand naar de balie komt (haha, een balie van een bank, stel je voor, in een toegankelijk gebouw zeker) en daar zhaar identiteitsbewijs laat zien. De medewerker kijkt daarnaar, controleert de echtheidskenmerken en vergelijkt de foto. Als alles in orde is, zet de medewerker een vinkje bij “verificatie in orde” en we zijn er.

Dit verklaart waarom een bank een onbewerkte (dus niets afgeschermd en geen watermerken) kopie van een identiteitsbewijs mag eisen. Echtheidskenmerken kunnen zijn afgeschermd of verminkt door zo’n bewerkte kopie. En omdat het wettelijk verplicht is te toetsen aan die kenmerken, moet de bank dus een originele, volledige kopie van het identiteitsbewijs hebben.

Er is echter nog een plicht, namelijk het bewaren van zekere bewijsstukken van die verificatie. Dit is geregeld in artikel 33 Wwft, en de bank beroept zich daarop om die kopie identiteitsbewijs te mogen bewaren. Dat is verdedigbaar, want de wet noemt een “afschrift” van je identiteitsbewijs als iets dat moet worden bewaard. Alleen: pasfoto en echtheidskenmerken zijn nu niet meer relevant, want de check is al gedaan. Dit moet de bank dus afschermen bij het opslaan van de kopie.

En het Kifid gaat nog een stapje verder: de bank moet actief de kopie voorzien van een watermerk of iets dergelijks, zodat bij een datalek de kopie niet zomaar gebruikt kan worden. Doet zij dat niet (de ABN Amro had hier gesteld dat dit onmogelijk was) dan mag ze de kopie niet bewaren, want dat is te onveilig voor de consument.

De discussie over het bsn is ook nog het vermelden waard. Het bsn staat op het identiteitsbewijs, maar de Wwft schrijft niet voor dat de bank dit moet gebruiken bij die identiteitscontrole. (Zorgverleners en zorgverzekeraars bijvoorbeeld wel.) En als het niet moet, dan mag het niet.

Althans, niet in het kader van de Wwft-verificatie. De bank is wél verplicht het bsn te gebruiken in de communicatie met de Belastingdienst (Algemene wet inzake rijksbelastingen) en de DNB (het depositogarantiestelsel). Op die wettelijke grond moet de bank dus het bsn opvragen, en dat mag best tijdens dat verificatieproces gebeuren. Daarom hoeft de bank het bsn niet af te schermen, mits ze maar wel de consument uitlegt waarom ze dat niet doet.

Dit stukje snap ik niet helemaal, want je kunt prima na de verificatie – dit is het bsn van Wim – het bsn apart opslaan en het daarna op de kopie onleesbaar maken. Die Awr en DNB-regels eisen namelijk niet dat je een kopie identiteitsbewijs moet kunnen tonen om aan te tonen dat je het juiste bsn had. En het is wel een serieus risico als een bsn uitlekt. Maar goed.

Samenvattend: De consument mag niet schrijven op de foto of scan die zij aanlevert ter identificatie. Zij mag wel van de bank eisen dat de kopie die zij vastlegt en bewaart bewerkt wordt. En de bank weet nu dat die bewerkte kopie voldoet aan de Wwft.

Arnoud

 

 

 

 

Je kunt als zzp’er eindelijk je btw nummer (oftewel je bsn) van je site halen

De Autoriteit Persoonsgegevens heeft de minister van Financiën een verbod opgelegd waardoor de Belastingdienst vanaf 1 januari 2020 niet langer het burgerservicenummer mag gebruiken in het btw-identificatienummer van zzp’ers. Dat meldde Tweakers onlangs. De eis was vele zelfstandig ondernemers een doorn in het oog, omdat het btw-nummer verplicht vermeld moet worden op facturen – maar ook op je webshop en andere verkoopkanalen. Daarmee komt je bsn wel érg bloot te liggen. Waarom dit jarenlang desondanks zo werd vastgehouden door de Belastingdienst, is me altijd een raadsel gebleken. Maar het zou nu eindelijk opgelost moeten zijn.

Het burgerservicenummer of bsn is door de overheid ingevoerd om administratie (met name fiscale zaken) rond burgers te kunnen regelen. Omdat dit nummer zo belangrijk is, zijn er strenge regels over gebruik van dat nummer gesteld, die kort samen te vatten zijn als “je mag er niets mee, tenzij een wet specifiek en uitdrukkelijk zegt van wel”. Dit was eigenlijk altijd al zo onder de Wbp, en is nu onder de AVG precies hetzelfde gehandhaafd.

Al diezelfde tijd heeft de Belastingdienst zzp’ers een btw nummer gegeven dat bestond uit hun bsn gevolgd door ‘B01’. Dat was denk ik handig voor ze, omdat dan alle zakelijke inkomsten die via btw-aanslagen binnen kwamen, gekoppeld kon worden aan hun privé aangifte die onder het bsn bekend staat. Of zoiets. Ik heb eigenlijk nooit een officiële reden kunnen vinden. En nee, “zo werkt de ICT bij ons” is natuurlijk geen reden.

Dit was een probleem omdat andere wetgeving zzp’ers verplicht tot publicatie van hun btw nummer (en dus hun bsn), onder meer op hun website. Het btw nummer van de ondernemer is in veel situaties verplicht bekend te maken informatie bij aanbod van producten of diensten op afstand. Kort gezegd, tenzij je site alleen een reclamefolder is met een contactformulier moest je btw nummer in het colofon staan. Bepaald niet handig dus.

Eindelijk heeft de AP hier een eind aan gemaakt: er is geen fatsoenlijke reden om deze koppeling te hanteren, dus de Belastingdienst moet zzp’ers nu gewoon een nieuw btw nummer geven waar hun bsn niet in zit. Om technische redenen (“zo werkt de ICT bij ons”, kuch kuch) kan dit pas in 2020 van kracht worden. Wie het kan uitleggen, ik hoor het graag.

Diverse mensen mailden me met de vraag of ze nu toch nog een jaar dat bsn online moeten houden. Ik aarzel daarover. Eigenlijk vind ik het te gek voor woorden dat deze verplichting nog blijft gelden terwijl zo evident vaststaat dat daarmee de wet wordt overtreden. Het zou werkelijk idioot zijn als een webwinkelier of online dienstverlener een boete krijgt omdat hij zijn btw nummer niet vermeldt omdat zijn bsn daarin zit, gezien deze uitspraak van de Autoriteit Persoonsgegevens.

Maar theoretisch gezien overtreed je de wet, want de wetgeving die het btw nummer eist, houdt geen rekening met deze situatie. Dus het kan in theorie leiden tot boetes. Ik ken uit het verleden echter geen boetebesluiten van bv. de ACM over enkel het niet vermelden van je btw nummer op je site. Ik zou dus zelf geneigd zijn te zeggen: doe het niet als je je er niet prettig bij voelt, en trek hard aan de bel als je van wie dan ook te horen krijgt dat je de wet overtreedt.

Arnoud

Mag mijn zorgverzekeraar op Facebook om mijn BSN vragen?

Een lezer vroeg me:

Nadat ik ontdekte dat ik mijn gegevens niet kon wijzigen bij het portaal van mijn verzekeraar, kreeg ik via Facebook contact met ze. Heel behulpzaam en vriendelijk, alleen wil men mijn BurgerServiceNummer ontvangen ter authenticatie. Mag de zorgverzekeraar überhaupt wel naar mijn BSN vragen via dit kanaal?

Vragen naar een BSN mag nooit – maar soms móet je het verkrijgen. Een zorgverzekeraar is verplicht het BSN gebruiken om persoonsverwisseling en andere fouten te voorkomen. De logica van een verzekeraar die bij een klantenserviceverzoek om een BSN vraagt, zie ik dus wel. (Ik neem aan dat er om meer wordt gevraagd dan alléén het BSN, maar dat terzijde.)

De factor Facebook maakt deze wel een tikje ingewikkeld. Op zich maakt het niet uit welk kanaal de verzekeraar gebruikt voor de communicatie met de klant, zolang dat maar veilig genoeg is voor de communicatie. Dus of je nu belt, appt of Facebookt zou in principe op hetzelfde neer moeten komen. Alleen: bij bellen zit er niet echt een derde partij tussen die inzicht heeft in de communicatie, en een eigen commercieel belang heeft bij de inhoud, pardon je gebruikservaring wil verrijken.

Formeel gezien heeft de verzekeraar hier dus een probleem: zij moeten er voor zorgen dat Facebook niet met die communicatie aan de haal gaat. Er zou in theorie een verwerkersovereenkomst met Facebook moeten worden gesloten, of een andere garantie dat het communicatiekanaal veilig is. Ik denk dat dat maar zelden het geval is, en dan is het dus niet goed mogelijk om dit soort dingen via Facebook te doen.

Arnoud

Eh nee, je BSN blijft gewoon een verboden nummer onder de Privacyverordening

Een lezer vroeg me:

In diverse media lees ik dat het verbod op verwerken van het burgerservicenummer (BSN) gaat verdwijnen. Dit verbod staat in de Wet bescherming persoonsgegevens, maar die komt te vervallen zodra de AVG is aangenomen. Klopt dat, en mag ik dan gewoon het bsn gaan gebruiken als bijvoorbeeld klantnummer?

Nee, dit klopt niet. Ook onder de Privacyverordening blijft het gewoon verboden om iemands BSN te gebruiken, tenzij in een wet expliciet staat dat je hem móet gebruiken. (Een BSN mág je dus nooit gebruiken, soms móet je het gebruiken.)

De verwarring komt door het feit dat de Privacyverordening vermeldt dat de Richtlijn waar de Wbp op is gebaseerd, wordt ingetrokken. De Wbp wordt dan ook ingetrokken per 25 mei volgend jaar. Artikel 24 Wbp gaat dan gezellig mee, en in dat artikel staat het verbod op verwerken van iemands burgerservicenummer.

Echter, de regering heeft al een Uitvoeringswet AVG aangekondigd waarin ze eigen aanvullingen bovenop de AVG gaat doen. Dat mag, de AVG vermeldt op diverse plekken dat een land zelf keuzes mag maken. Zo staat er in dat je vanaf zestien jaar je eigen beslissingen over persoonsgegevens mag nemen, maar dat een land die grens omlaag mag halen (tot minimaal 13).

Artikel 44 van de huidige tekst daarvan is letterlijk artikel 24 Wbp:

Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald.

En ja, ik weet dat deze tekst net uit de internetconsultatie is en dat er nog van alles kan gebeuren. Maar ik acht de kans echt núl komma nul dat dit artikel gaat veranderen of verdwijnen. Die uitvoeringswet is grotendeels een formaliteit, en het is dus buitengewoon onverstandig om te denken dat er straks een gaatje komt om met bsn’s te gaan werken.

Arnoud

Mag een apotheek je laten inloggen met je BurgerServiceNummer?

bsnEen lezer vroeg me:

Mijn apotheek biedt de mogelijkheid om online herhaalrecepten voor medicatie aan te vragen. Maar dan moet je inloggen met BSN. Dat mag toch helemaal niet?

De regel bij het BSN is eigenlijk simpel: alleen als in een wet staat dat het voor een specifiek doel mag worden gebruikt, is dat toegestaan. Ander gebruik, hoe handig of makkelijk ook, is eenvoudigweg verboden. En ja, hier staan boetes op sinds 1 januari.

Dat een apotheek het BSN mag gebruiken, staat in de Wet gebruik BSN in de zorg. Doel is te waarborgen dat de in het kader van de verlening van zorg te verwerken persoonsgegevens op die cliënt betrekking hebben. Je wilt immers geen medicatie aan de verkeerde persoon meegeven, of per abuis onthullen wat voor aandoening iemand heeft.

Het daaronder hangend Besluit werkt uit dat bij het identificeren van een klant het BSN mag worden gebruikt. Hierbij kan ik echter niet vinden hoe dat moet, en al helemaal niet in het geval de cliënt zich online meldt. Ik vermoed dus dat het niet mag, omdat er geen wettelijke regeling lijkt te zijn die zegt van wel.

Meer algemeen lijkt het me problematisch, omdat het BSN in het algemeen niet bedoeld is als dossiernummer of administratief kenmerk. Een gebruikersnaam valt daar ook onder. Dit wordt ook zo gemeld door de toezichthouder, de Autoriteit Persoonsgegevens:

De gemeente mag uw burgerservicenummer (BSN) niet gebruiken als briefkenmerk of dossiernummer. De gemeente mag u ook niet vragen om standaard uw BSN te vermelden in brieven die u naar de gemeente stuurt. Daarvoor is het BSN niet bedoeld.

En wat voor een gemeente geldt (hoi Beverwijk en Alkmaar) lijkt me voor een apotheek ook te gelden.

Arnoud

Mag See Tickets bij Kraftwerkconcertkaartjes wel vragen om het nummer van je identiteitsbewijs?

kraftwerk-evoluonWe hadden het er vorige week al over: wie naar het Kraftwerkconcert in Eindhoven wil, moet zijn BSN afgeven. Dat gaf de nodige commotie, dus nu is dat het ‘identificatiebewijsnummer’ geworden want “wat een hoop idioten niet weten, is dat dat allemaal precies hetzelfde nummer is”, aldus de organisatie. Eh. Juist.

Nee, natuurlijk is het serienummer van je identiteitskaart of rijbewijs een ander nummer dan je BurgerServiceNummer. Maar mag je die nummers dan wél gebruiken? Het BSN valt onder het verbod van art. 24 Wbp: “een nummer dat ter identificatie van een persoon bij wet is voorgeschreven” mag alléén worden gebruikt als in de wet staat dat (en waarvoor) dat mag. Dit geldt zowel voor overheden als voor private partijen, en dit is dus de reden dat een ‘kopietje paspoort’ bij een private organisatie niet mag tenzij men het BSN afdekt bij het kopiëren.

Zo moeten opkopers van metalen tegenwoordig hun klanten zich laten legitimeren, en dat is wettelijk verplicht in verband met koperdiefstal. Ook bij de Rijkspas mocht het BSN niet worden genoteerd. De Richtsnoeren ‘Kopietje paspoort’ bevatten meer voorbeelden.

Maar een paspoort- of ID-nummer is niet bij wet voorgeschreven om mij als persoon te identificeren. Het identificeert vooral dat legitimatiebewijs, en alleen indirect mijzelf. Daarom valt dat niet onder het strenge verbod van artikel 24. Je komt dan terug op de hoofdregels uit de wet: er moet (weigerbare) toestemming zijn, het moet nodig zijn voor de uitvoering van de overeenkomst, of er moet een dringende noodzaak zijn die rechtvaardigt dat je niet kúnt vragen om toestemming. Verder moet je duidelijk informeren wát je doet met die gegevens.

Dan het privacystatement er maar eens bij gepakt. Ah, dat begint goed, ze zijn netjes aangemeld:

SEE heeft haar verwerking van persoonsgegevens gemeld bij het College Bescherming Persoonsgegevens te Den Haag op 21 augustus 2002 onder het nummer m1053015.

Alleen, eh, huh, wat idioot:

resultaat-cbp-see-tickets

Ergens ook wel te verwachten dat er tussen 2002 (datum registratie) en 2013 iets veranderd zou zijn in wat men verwerkt. Het is maar goed dat zij “tijdens onze bedrijfsprocessen speciale aandacht besteden” aan privacy en dus dit soort dingen actualiseren.

Dan maar even op naam gezocht, en See Tickets Nederland BV blijkt een melding te hebben gedaan (m1413603, ach ja typefoutje in het nummer zullen we maar zeggen) voor ticketlevering en de daarbij onvermijdelijke op de persoon afgestemde directmarketingactiviteiten. Volgens de privacyverklaring verzamelt men niet meer dan NAW-gegevens, emailadres en telefoonnummer. Je identiteitskaartnummer is volgens mij toch echt geen NAW-gegeven of telefoonnummer.

Hebben ze nu een formeel probleem? Tsja. Het hóórt in de privacyverklaring zulke informatie. Anderzijds, door het expliciet bij het bestelproces te melden informeer je mensen ook dus misschien is dit nog wel netter dan in een privacyverklaring onder artikel 12.

Wel kun je je serieus afvragen of dat nu écht nodig is, een nummer van een legitimatiebewijs vastleggen. En die vraag moet je je altijd stellen bij verwerking van persoonsgegevens, want dingen die je niet nodig hebt mag je niet vragen, ook niet als mensen best bereid zijn die te geven. Het doel van See is tickethandel tegen te gaan, dat doel willen ze bereiken door persoonsgebonden tickets uit te geven en dus is een koppeling nodig tussen de koper en de persoon die bij het concert verschijnt.

Maar volgens mij kun je dan best volstaan met een naam op laten geven en bij de ingang checken of die naam op het legitimatiebewijs staat (en of de foto matcht met de persoon). Wat voegt een extra nummer toe bij die verificatie? Als daar geen reden voor is, dan mag je dat nummer niet vragen. Dan moet je het houden bij vergelijken naam.

Opmerkelijk is nog dat de privacyverklaring afgezien van tutoyeren en de bedrijfsnaam 99,9% identiek is aan de privacyverklaring van Ticketpoint, waarbij ik echter vermoed dat die laatste ‘m geleend heeft omdat er wél over melding gesproken wordt maar zonder meldingsnummer (en ik geen melding kan vinden van Ticketpoint BV). Maar dat terzijde.

Arnoud

Wat mogen ze nu eigenlijk met mijn BurgerServiceNummer (BSN)?

bsnWat mogen ze nu eigenlijk met mijn BurgerServiceNummer (BSN)? Een veelgestelde vraag in mijn inbox. Het antwoord is eigenlijk simpel: Helemaal niks, maar trekt iemand zich daar wat van aan? Nee dus. En wat kun je daaraan doen? Ook helemaal niks. Argh.

Het burgerservicenummer (BSN) is een uniek persoonsnummer voor iedereen die ingeschreven staat in de Gemeentelijke Basisadministratie Persoonsgegevens (GBA). Het is de vervanger van het sociaal-fiscaal nummer, en bedoeld voor de overheid om het dossier van een burger altijd te kunnen vinden en persoonsgebonden zaken te kunnen regelen. Dát is handig, zo’n uniek serienummer, denkt menig ondernemer en vraagt dus rustig om een BSN. Of men wil een kopietje paspoort en staat er niet bij stil dat je dan ook het BSN kopieert.

Nee, dat mag niet. De Wet algemene bepalingen BSN, en ook de Wbp hebben hier wat over te zeggen. Het BSN is namelijk een “wettelijk voorgeschreven identificatienummer”, en daarover zegt artikel 24 Wbp:

Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald.

Oftewel: sorry, maar wáár staat in de wet dat u mijn BSN mag noteren, kopiëren laat staan ergens voor gebruiken? Geen antwoord = magnie.

Er zijn een paar beperkte uitzonderingen. Werkgevers moeten het BSN van hun werknemers vastleggen in verband met bestrijding van zwartwerken. Banken moeten het BSN weten voor wettelijk verplichte uitwisseling van gegevens met de Belastingdienst. In de zorg is je BSN soms ook verplicht. Maar in het algemeen geldt voor bedrijven en winkels dat ze géén recht hebben je BSN te noteren. Zélfs niet als ze een duidelijk belang hebben bij legitimatie van de klant, zoals bij autohuur of het kopen van dure spullen zonder vooruitbetaling.

Hier blijkt alleen weer het tandeloze karakter van de Wet bescherming persoonsgegevens. Of misschien wel het principe “recht hebben versus recht krijgen”. Want het mag niet maar iedereen doet het, en als je er wat van zegt dan ben jíj gek. Op zijn best krijg je “zonder die gegevens kan ik helaas uw transactie niet afronden” en dan mag je boos weglopen mét privacy maar zonder huurauto, reservering of inkoop van tweedehands games.

En ja ik loop hier zelf ook tegenaan. Het is gedoe om hier een punt van te maken, de persoon aan de balie snapt het punt niet of mag niet afwijken van de procedure of doet het af met “wij doen écht geen gekke dingen met uw legitimatie meneer”. Wordt het tijd om organisaties eens te gaan schandpalen om hier verandering in te krijgen?

Arnoud