Vanwege de digitale ontwikkelingen, onder meer op het gebied van kunstmatige intelligentie, nemen de risico’s rondom identiteitsfraude sterk toe. De afgelopen jaren heeft Stichting Privacy First regelmatig signalen van burgers ontvangen die zich zorgen maken over de wijze waarop financiële instellingen, zoals banken, hun identiteit verifiëren.
Deze signalen waren voor Privacy First aanleiding onderzoek te doen naar de achtergrond. Daarbij kwamen we veel tegen wat ons zorgen baart, onder meer in de rechtspraak en in beslissingen van geschillenbeslechter Kifid.
Met beroep op de antiwitwaswet Wwft [*] verlangen financiële instellingen dat kopieën van identiteitsbewijzen worden gemaakt zonder dat de foto en het BSN mogen worden afgeplakt en wordt soms van klanten verlangd dat zij foto’s of video’s van zichzelf maken. De financiële instellingen bewaren de kopieën en de beelden zeer langdurig en vragen soms tijdens een bestaande relatie opnieuw om identificatie. Dit levert grote gegevensbeschermingsrisico’s voor burgers op en is in strijd met de Wwft en AVG.
Privacy First heeft vandaag een uitgebreid gemotiveerd verzoek gestuurd aan bankentoezichthouder De Nederlandsche Bank en aan de Minister van Financiën om maatregelen te nemen zodat financiële instellingen de Wwft en de AVG beter naleven en het risico op identiteitsfraude wordt beperkt.
In dit verzoek komen wij onder meer tot de volgende conclusies en aanbevelingen:
De Wwft biedt geen grondslag voor het langdurig bewaren van kopieën van identiteitsbewijzen.
Het maken van selfies en video-opnamen wordt evenmin door de Wwft voorgeschreven en ook een grondslag voor het bewaren ontbreekt. Het gebruik ervan is alleen toegestaan als sprake is van een adequate onderbouwing.
Het langdurig bewaren van kopieën van identiteitsbewijzen, selfies en video-opnamen leidt tot verhoogde risico’s op identiteitsmisbruik. Als er een aantoonbare noodzaak tot bewaren zou zijn, dient dat zo kort mogelijk te duren, ter voldoening aan het dataminimalisatiebeginsel van de AVG. De kopieën van identiteitsbewijzen en de beelden dienen alsdan zo spoedig mogelijk te worden verwijderd.
Op grond van de Wwft en de AVG dienen de identificatiemaatregelen van Wwft-plichtige ondernemingen aantoonbaar proportioneel te zijn en niet verder te gaan dan nodig voor het beoogde doel. Dat betekent dat de risico’s van identiteitsmisbruik zo goed mogelijk gemitigeerd moeten worden en financiële instellingen dit ook aan de burger kunnen aantonen.
Financiële instellingen vervullen een maatschappelijk essentiële functie en zijn digitale ondernemingen zonder fysieke kantoren geworden. Dat heeft riskante identificatiepraktijken in de hand gewerkt. Wij menen dat van de financiële instellingen mag worden verwacht dat zij laagdrempelige fysieke identificatiemogelijkheden bieden, zodat riskante digitale handelingen worden voorkomen.
Het is nodig de aanpak bij verificatie van de identiteit op grond van de Wwft ingrijpend aan te passen, zodat wordt voorkomen dat andere Wwft-plichtige ondernemingen het slechte voorbeeld van de financiële sector volgen.
Ons gehele verzoek aan DNB en de Minister van Financiën kunt u HIER downloaden (pdf).
Onze wens is dat er een beweging op gang komt ter verbetering van de gegevensbescherming van burgers door financiële instellingen.
Wij hebben de vaste commissies voor Financiën, Digitale Zaken en Justitie en Veiligheid van de Tweede Kamer hierover geïnformeerd, evenals een aantal andere relevante partijen.
[*] De Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft).