Een digitale kopie van het paspoort met een selfie om te controleren of u het wel bent: financiële instellingen vallen uitgebreid klanten lastig conform een verplichting van witwaswet Wwft. Privacyorganisaties betwisten deze uitvoering van de Wwft. Bovendien slaagt de digitale (her)identificatie vaak niet.
Een persoonlijke ervaring met Nationale-Nederlanden Bank (NNB). Die vraagt bij heridentificatie om een kopie van het paspoort digitaal te leveren en een selfie. Met dat laatste gaat het helemaal mis. Steeds als – letterlijk – het sein op groen staat dat de instelling voor de foto goed is voor het maken van het portret, is een lichte beweging genoeg om toch een foutmelding te krijgen. Na tien pogingen lukt het nog niet.
NNB wil niet zeggen hoeveel klanten dit lot treft of hoeveel er niet (meer) willen of kunnen meewerken. De woordvoerder: “NN Bank heeft, als digitale bank, een online methode om de mogelijkheid tot (her)identificatie plaats te laten vinden. Als alternatief biedt zij de identificatie ter plaatse aan. Als het maken van foto’s in de digitale methode niet lukt, kan de klant bellen met NN Bank of iemand laten langskomen.”
Ook bij ING moeten particuliere klanten zich via hun ING-app (her)legitimeren, in acht stappen inclusief een selfie. “Indien het niet lukt om via de app te identificeren dan kunnen particuliere klanten naar een ING-kantoor servicepunt komen. Voor zakelijke klanten vindt de identificatie en verificatie van de identiteit plaats op een ING-kantoor (op afspraak) of ING-servicepunt”, aldus de woordvoerster.
Weigeren op privacygronden?
De Autoriteit Persoonsgegevens, die de AVG streng bewaakt en toeziet op dataminimalisatie, ziet zich gedwongen om met de massale dataverwerking van banken inzake de Wwft akkoord te gaan. Zo massaal gegevens van klanten vragen is normaliter een brug te ver voor de AP. Maar na samenspraak met DNB zijn er richtlijnen van de AP zodat banken toch aan de Wwft-eisen kunnen voldoen
Volgens burgerrechtenorganisatie Privacy First bestaat bij financiële instellingen onzekerheid over de verplichtingen inzake de Wwft, wat ertoe leidt dat zij uit angst voor boetes en strafvervolging maar zoveel mogelijk gegevens verzamelen en de bewaartermijn onvoldoende begrensd is. Volgens Privacy First biedt de Wwft daar geen grondslag voor en wordt zo in strijd met de AVG gehandeld. “De Wwft bevat geen verplichting tot het maken en oneindig bewaren van kopieën van identiteitsbewijzen inclusief foto's”, aldus privacyjurist Ellen Timmer.
Organisatie Privacy First vindt dat sprake is van “ongeremde verzameling van vertrouwelijke gegevens door financiële instellingen in het kader van witwasbestrijding. Op dit moment ontbreekt toezicht op de naleving van de AVG door financiële instellingen en hoeven die instellingen datalekken niet aan betrokken burgers te melden.”
Timmer stelt: “Overigens staan Wwft en AVG niet op gespannen voet. De AVG eist dat er voor verwerking van persoonsgegevens een grondslag is, bij de Wwft is dat een wettelijke grondslag. Echter: in de Wwft staat niet dat er een kopie ID of een selfie moet worden gemaakt. Dit wordt door de banken en DNB verzonnen, respectievelijk als alibi gebruikt. Er is bovendien wisselvallige rechtspraak, die er volgens mij steeds net naast zit. Het is voldoende dat na het inzien van het originele identiteitsbewijs de door de Wwft vereiste gegevens worden genoteerd.”
Dus mag je als klant je paspoortkopie weigeren? En (dus) ook weigeren om een selfie maken en op te laten slaan? Fleur le Roy, advocaat bij Amstel & Seine Avocats in Parijs en expert in dezen: “Een potentiële of bestaande bankklant mag weigeren identiteitsgegevens te versturen, maar loopt dan wel het risico dat hij/zij wordt afgewezen als klant. Belangrijke vragen zijn steeds of deze praktijken doelmatig, proportioneel et cetera zijn.”
In de praktijk blokkeren instellingen de rekeningen van weigerachtige klanten, waarna deze veelal alsnog een kopie van hun paspoort en een foto sturen of zich aan de deur of op een bankkantoor laten identificeren.
Boete
Recent kreeg ABN Amro-dochter International Card Services (ICS) een boete van €150.000 wegens overtreding van de Algemene verordening gegevensbescherming (AVG). ICS had geen goede schouwing gedaan van de mogelijke nadelige privacy-effecten van de identificatie, de Data Protection Impact Assessment (DPIA)
Dat is een ingewikkelde procedure waarbij precies moet worden vastgelegd hoe de databescherming conform de AVG is gegarandeerd. Volgens het AP-besluit mocht ICS niet vertrouwen op de DPIA van moeder ABN Amro bij de inzet van dezelfde app, Mitek, voor de identificatie. Immers, het gaat om “gevoelige gegevens en gegevens van zeer persoonlijke aard”, vooral de foto waaruit ras en eventuele medische kwalen zijn op te maken. Bovendien is met 1,5 miljoen klanten wier gegevens lang bewaard blijven sprake van grootschalige verwerking, anders dan ICS beweerde.
Het lijkt een wat overtrokken beoordeling, maar dat is allerminst het geval, vindt Simon Lelieveldt, financieel data- en privacy-expert. Hij vindt de uitspraak van de AP goed geformuleerd en een goed kader bieden, al maakte ICS vooral een “vormfout… Ik vond het een heel slimme en wijze uitspraak van AP. Het is ook een signaal aan financiële instellingen: het wordt tijd dat jullie de focus op Wwft en witwassen even laten varen en met evenveel enthousiasme aandacht geven aan de AVG.”
Lelieveldt ziet wel een spanningsveld: “In de Wwft er staat dat gekozen kan worden: alle gegevens noteren of een kopie van het paspoort maken. De AVG schrijft duidelijk dataminimalisatie voor en dat betekent dat er geen kopie van het paspoort of foto bewaard kan worden.
De juridische mogelijkheid in de Wwft om zo'n kopie te mogen bewaren is volgens mij een dode theoretische letter geworden. De financiële instellingen blijven zich echter op die dode letter beroepen. Dat spanningsveld leent zich bij uitstek voor opheldering bij de rechter. Zo'n stap is voor klanten vaak een brug te ver. Klanten leggen zich dus bij de privacyschending neer uit angst om de rekening kwijt te raken of niet te krijgen."