Banken mogen onbewerkte ID zien, maar alleen gewatermerkt (en zonder bsn/foto) bewaren

| AE 13119 | Ondernemingsvrijheid | 16 reacties

Voor het (opnieuw) identificeren en verifiëren van de identiteit van de consument mag de bank een foto of scan van een onbewerkt ID-bewijs opvragen. Dat bepaalde geschillencommissie Kifid onlangs. Echter, voor het vastleggen en bewaren van een kopie van dit ID-bewijs moet de bank de pasfoto afschermen en een watermerk aanbrengen om misbruik te voorkomen. Deze uitspraak zet een mooie streep in het zand, die hopelijk ook werkelijk gaat leiden tot herziene procedures. (Ik ben altijd wat cynisch over bureaucratische procesvernieuwing.)

Even voor de duidelijkheid: het Kifid is een geschillencommissie, waar alle banken wettelijk verplicht bij aangesloten zijn. De uitspraken van het Kifid moeten zij dus opvolgen. En dat zou goed nieuws zijn – deze uitspraak is zo logisch dat ik ‘m als modelantwoord zou gebruiken bij onze opleiding tot privacyjurist.

De kern: wie bij een bank zit, moet met enige regelmaat een kopie ID overleggen. Zeker nu moet dat vrijwel altijd digitaal, en soms zelfs via de e-mail. Daar krijg ik veel vragen over, maar in de kern moet dit want in verband met anti-witwaswetgeving (de Wet ter voorkoming van witwassen en financieren van terrorisme, Wwft) is identiteitscontrole van je klanten verplicht.

Daar zit meteen ook het punt, want het gaat om verifiëren van iemands identiteit (artikel 3 Wwft). De ouderwetse methode is dan dat iemand naar de balie komt (haha, een balie van een bank, stel je voor, in een toegankelijk gebouw zeker) en daar zhaar identiteitsbewijs laat zien. De medewerker kijkt daarnaar, controleert de echtheidskenmerken en vergelijkt de foto. Als alles in orde is, zet de medewerker een vinkje bij “verificatie in orde” en we zijn er.

Dit verklaart waarom een bank een onbewerkte (dus niets afgeschermd en geen watermerken) kopie van een identiteitsbewijs mag eisen. Echtheidskenmerken kunnen zijn afgeschermd of verminkt door zo’n bewerkte kopie. En omdat het wettelijk verplicht is te toetsen aan die kenmerken, moet de bank dus een originele, volledige kopie van het identiteitsbewijs hebben.

Er is echter nog een plicht, namelijk het bewaren van zekere bewijsstukken van die verificatie. Dit is geregeld in artikel 33 Wwft, en de bank beroept zich daarop om die kopie identiteitsbewijs te mogen bewaren. Dat is verdedigbaar, want de wet noemt een “afschrift” van je identiteitsbewijs als iets dat moet worden bewaard. Alleen: pasfoto en echtheidskenmerken zijn nu niet meer relevant, want de check is al gedaan. Dit moet de bank dus afschermen bij het opslaan van de kopie.

En het Kifid gaat nog een stapje verder: de bank moet actief de kopie voorzien van een watermerk of iets dergelijks, zodat bij een datalek de kopie niet zomaar gebruikt kan worden. Doet zij dat niet (de ABN Amro had hier gesteld dat dit onmogelijk was) dan mag ze de kopie niet bewaren, want dat is te onveilig voor de consument.

De discussie over het bsn is ook nog het vermelden waard. Het bsn staat op het identiteitsbewijs, maar de Wwft schrijft niet voor dat de bank dit moet gebruiken bij die identiteitscontrole. (Zorgverleners en zorgverzekeraars bijvoorbeeld wel.) En als het niet moet, dan mag het niet.

Althans, niet in het kader van de Wwft-verificatie. De bank is wél verplicht het bsn te gebruiken in de communicatie met de Belastingdienst (Algemene wet inzake rijksbelastingen) en de DNB (het depositogarantiestelsel). Op die wettelijke grond moet de bank dus het bsn opvragen, en dat mag best tijdens dat verificatieproces gebeuren. Daarom hoeft de bank het bsn niet af te schermen, mits ze maar wel de consument uitlegt waarom ze dat niet doet.

Dit stukje snap ik niet helemaal, want je kunt prima na de verificatie – dit is het bsn van Wim – het bsn apart opslaan en het daarna op de kopie onleesbaar maken. Die Awr en DNB-regels eisen namelijk niet dat je een kopie identiteitsbewijs moet kunnen tonen om aan te tonen dat je het juiste bsn had. En het is wel een serieus risico als een bsn uitlekt. Maar goed.

Samenvattend: De consument mag niet schrijven op de foto of scan die zij aanlevert ter identificatie. Zij mag wel van de bank eisen dat de kopie die zij vastlegt en bewaart bewerkt wordt. En de bank weet nu dat die bewerkte kopie voldoet aan de Wwft.

Arnoud

 

 

 

 

DNB: cryptohandelaren hoeven toch niet steeds identiteit van klanten te bewijzen

| AE 12679 | Ondernemingsvrijheid | 5 reacties

De Nederlandsche Bank stopt met het verplicht identificeren van klanten bij elke transactie voor cryptohandelaren. Dat las ik bij Tweakers. Bedrijven moeten transacties wel screenen, maar verplicht identificeren vervalt. DNB had eerder de wet zo geïnterpreteerd dat die identificatie wel zou moeten, waardoor cryptobedrijven als Bitonic zich ernstig bedreigd voelen in hun dienstverlening. Met deze stap is ook het kort geding van Bitonic tegen DNB van de baan.

Bitonic heeft een vergunning van DNB om als bank te opereren, wat kort gezegd nodig is om bitcoins naar fiatgeld om te zetten en terug. Deel van die vergunning is dat je moet voldoen aan de regels rond voorkoming van witwassen en terrorismefinanciering en aan regels die voortvloeien uit de Sanctiewet. Hieruit volgt een plicht om transacties van klanten monitoren, en aan de bel te trekken bij verdachte of rare transacties.

NRC legt uit wat er speelt:

Het bedrijf vraagt zich alleen of het moet zoals DNB lijkt te eisen: elke keer als een klant een bitcointransactie doet naar zijn of haar wallet (waarin je cryptovaluta bewaart), moet een screenshot van die transactie worden genomen om te verifiëren of die wallet wel echt in zijn bezit is. Daarmee zou een bitcoinbedrijf verder moeten gaan dan een bank of schadeverzekeraar.
Meer algemeen speelt het punt dat de wet alleen een registratie van instanties als Bitonic eist, en dat DNB met dit soort eisen er een soort vergunning van maakt. Een registratie is immers een melding: hier zit ik, ik doe in bitcoin. Daar valt weinig aan te doen verder. Een vergunning kan wél worden ingetrokken of beperkt, wat dus is wat DNB leek te doen door te zeggen “maak die screenshots of je mag geen bank zijn”.

Voor Bitonic en collega’s is daarmee nu meer ruimte gekomen om sneller te opereren. Ergens heb ik wel het gevoel dat DNB met iets nieuws gaat komen. Het fundamentele probleem achter deze eis is immers dat bitcoin wallets niet vergelijkbaar zijn met bankrekeningen, zodat de kans op misbruik / illegale transacties eerder aanwezig is. En als je daar dan toch effectief toezicht op wilt houden, dan moet er iets komen. Ik heb alleen ook geen idee wat.

Arnoud