Recent heeft de European Banking Authority (EBA) richtsnoeren over het cliëntenonderzoek op afstand gepubliceerd. Ook recent heeft de Commissie van beroep van het KiFID geoordeeld dat financiële ondernemingen een onbewerkte kopie van het ID-bewijs mogen bewaren. Ik licht deze ontwikkelingen hierna toe en sluit af met een paar tips.
Volgens de EBA is het zowel voor de toezichthouders als de financiële ondernemingen van belang om te begrijpen hoe het cliëntenonderzoek op afstand werkt. En dat financiële ondernemingen de mogelijkheden tot het doen van een cliëntenonderzoek op afstand optimaal benutten. Uiteraard dienen financiële ondernemingen tegelijkertijd bewust te zijn van de risico’s op witwassen en het financieren van terrorisme bij het cliëntenonderzoek op afstand.
Uit de richtsnoeren volgt niet dat de EBA een voorkeur heeft voor een specifieke technologische oplossing. De richtsnoeren dragen bij om de risico’s te beperken die voortvloeien uit het gebruik van technologische oplossingen bij het cliëntenonderzoek op afstand, zoals het risico van fraude.
De richtsnoeren zijn gericht op een standaard cliëntenonderzoek, maar kunnen aangepast worden om deze in overeenstemming te brengen met de risicogebaseerde aanpak als dat voortvloeit uit de Wwft.
De richtsnoeren zijn verdeeld in een aantal onderdelen, zoals (i) intern beleid en procedures, (ii) verwerving van informatie, (iii) authenticiteit en integriteit van documenten, (iv) matching van de identiteit tijdens het verificatieproces, (v) derden en uitbesteding en (vi) beheer van ICT- en beveiligingsrisico’s. In deze bijdrage besteed ik aandacht aan verwerving van informatie en authenticiteit en integriteit van documenten aangezien deze voor de praktijk het meest relevant zijn.
Verwerving van informatie
De EBA stelt vast en benadrukt dat financiële ondernemingen in hun beleid en procedures moeten opnemen welke informatie nodig is om (i) de cliënt te identificeren, (ii) welke documenten, gegevens of informatie nodig zijn om de identiteit van de cliënt te verifiëren en (iii) de wijze waarop deze informatie wordt geverifieerd. Verder dienen financiële ondernemingen ervoor te zorgen dat de verkregen informatie actueel en toereikend is. Wat hieronder verstaan moet worden, staat niet in de richtsnoeren. De op afstand verkregen gegevens zoals afbeeldingen, video’s en geluidsopnames moeten worden vastgelegd in een leesbaar format en van voldoende kwaliteit zijn. Niet onbelangrijk is dat de verkregen informatie moet zijn voorzien van een digitale ‘stempel’ met de datum en tijd van ontvangst. Dan is na te gaan wanneer de verificatie heeft plaatsgevonden. Tot slot is van belang dat de financiële onderneming het doel en de beoogde aard van de zakelijke relatie beoordeelt en vastlegt voor het afronden van het online cliëntenonderzoek.
Authenticiteit en integriteit van documenten
Als financiële ondernemingen bij het cliëntenonderzoek op afstand slechts kopieën of scans van een origineel document aanvaarden en dus het originele document niet nader onderzoeken, moeten zij maatregelen nemen om zich ervan te vergewissen dat de ontvangen scan betrouwbaar is. In dat kader dienen zij ten minste vast te stellen dat het kopie de veiligheidskenmerken bevat die in het originele document zijn ingebouwd, en of persoonsgegevens zijn gewijzigd of anderszins gemanipuleerd.
Wanneer gebruik wordt gemaakt van een feature om Machine Readable Zone (MRZ) verificaties te doen, moeten de financiële ondernemingen de nodige maatregelen nemen om ervoor te zorgen dat zij de informatie op een accurate en consistente wijze vastleggen. In de MRZ staan gegevens zoals naam, paspoortnummer, nationaliteit, geboortedatum, geslacht en de datum waarop het reisdocument verloopt. EBA adviseert financiële ondernemingen uiteraard indien het technisch mogelijk is om de chip van een ID-bewijs op afstand uit te lezen. De informatie uit die chip kan worden gebruikt om de consistentie van de verkregen informatie te verifiëren.
Onbewerkte kopie ID-bewijs
In verband met het op afstand uitvoeren van een cliëntenonderzoek is een recente uitspraak van de Commissie van Beroep Financiële Dienstverlening (nr. 2023-0004) van 8 februari jl. van belang. Wat was er aan de hand? Op enig moment heeft de bank de consument verzocht zich online te identificeren. De consument heeft op het kopie van haar ID-bewijs de tekst ‘ABN AMRO’ aangebracht en haar Burgerservicenummer afgeplakt. De Commissie van Beroep onderschrijft het oordeel van de Geschillencommissie, dat het opvragen van een onbewerkt identiteitsdocument noodzakelijk is om de echtheid van het document (via een geautomatiseerd proces) te kunnen controleren.
Met betrekking tot de bewaarplicht van het kopie van het ID-bewijs, oordeelt de Commissie van Beroep dat de bewaarplicht van artikel 33 Wwft zo moet worden begrepen, dat deze betrekking heeft op alle documenten en gegevens die de bank heeft gebruikt in het kader van haar cliëntenonderzoek. Dat betekent dat het ID-bewijs dat is gebruikt in het proces van verificatie en identificatie, met daarop een herkenbare (dus niet-bewerkte) pasfoto, moet worden bewaard. In eerste instantie oordeelde de Geschillencommissie nog dat de bank in ieder geval de pasfoto zal moeten afschermen.
Tips voor de praktijk
In aanvulling op wat nu gebruikelijk is geldt bij onboarding op afstand dat financiële ondernemingen ervoor moeten zorgen dat de verkregen informatie:
- Actueel en toereikend is
- Is vastgelegd in een leesbaar formaat
- Voorzien van een stempel met datum en tijd
Verder nemen financiële ondernemingen maatregelen om te vergewissen dat de reproductie (scan, kopie of video) betrouwbaar is, door bijvoorbeeld na te gaan of de veiligheidskenmerken aanwezig zijn, de eigenschappen overeenkomen zoals lettertype en tekengrootte. Ook dient, indien technisch mogelijk, de chip uit het ID-bewijs uitgelezen te worden.
Christian Wulf is advocaat en know how manager bij Hart Advocaten, één van de kennisexperts van Investment Officer die maandelijks een bijdrage levert.