De Geschillencommissie van het Kifid heeft onlangs een belangwekkende uitspraak gedaan voor de dagelijkse praktijk van financiële ondernemingen. Financiële ondernemingen mogen niet langer een onbewerkt ‘kopietje paspoort’ van een cliënt vastleggen en bewaren.
De pasfoto van het identiteitsbewijs moet worden afgeschermd en een watermerk moet worden aangebracht teneinde misbruik te voorkomen. Doen financiële ondernemingen dat niet, dan wordt in strijd gehandeld met de Algemene verordening gegevensbescherming.
De casus was als volgt. Een cliënt met een betaalrekening bij ABN Amro kreeg het verzoek van de bank om zich opnieuw online te identificeren als gevolg van de inwerkingtreding van de vierde anti-witwasrichtlijn. Deze richtlijn bracht met zich dat bestaande cliëntdossiers op risico gebaseerde wijze moesten worden herzien. In essentie een revisieplicht ten aanzien van (delen) van het cliëntenonderzoek.
De cliënt geeft op verzoek van de bank een kopie van haar identiteitsbewijs, maar op de voor-en achterkant heeft zij een stukje plakband aangebracht met de tekst ‘ABN Amro’. Ook plakt de cliënt haar burgerservicenummer af.
De bank informeert de cliënt vervolgens dat haar identiteitsbewijs niet voldoet en stelt dat de bank alleen aan haar verplichtingen op grond van de Wwft kan voldoen door een identificatie en verificatie aan de hand van een scan van een onbewerkt identiteitsdocument en door het vastleggen en bewaren van een volledige kopie daarvan.
De cliënt gaat hierin niet mee en beklaagt zicht bij het KiFiD en stelt aldaar dat een scan van een bewerkt identiteitsbewijs afdoende is omdat haar belangrijkste persoonsgegevens vooralsnog leesbaar zijn.
(On)bewerkt kopietje paspoort?
De Geschillencommissie stond voor de vraag of de bank in het kader van haar cliëntonderzoek een scan van een onbewerkt identiteitsbewijs mag opvragen, vastleggen en bewaren. Hetgeen niet ongebruikelijk is in de financiële sector.
Om deze vraag te beantwoorden maakt de Geschillencommissie onderscheid tussen enerzijds de identificatie- en verificatieplicht en anderzijds de verplichting tot het vastleggen en bewaren van gegevens (reconstructieplicht) van het cliëntonderzoek. Daarbij is van belang dat volgens de AVG de verwerking moet worden beperkt tot datgeen wat noodzakelijk is voor het doel van de gegevensverwerking (beginsel van minimale gegevensverwerking).
Op grond van de Wwft zijn financiële ondernemingen verplicht om de identiteit van cliënten te controleren. Financiële ondernemingen moeten kunnen nagaan dat een cliënt daadwerkelijk is wie hij zegt dat hij is. ABN Amro doet dit door de echtheidskenmerken van het identiteitsdocument te controleren via een geautomatiseerd proces en deze echtheidskenmerken bevinden zich over het gehele identiteitsbewijs.
Afplakken gegevens
Het afplakken van het identiteitsbewijs leidt ertoe dat deze echtheidskenmerken niet goed leesbaar zijn. Dat brengt de Geschillencommissie tot de conclusie dat het voor de bank noodzakelijk is om een onbewerkte scan van het identiteitsbewijs op te vragen in het kader van de identificatie en verificatie van de cliënt.
Dat ligt anders bij het vastleggen en bewaren van het gebruikte identiteitsbewijs. Volgens de wetgever is het doel hiervan dat financiële ondernemingen in staat worden gesteld om ongebruikelijke transacties te kunnen melden aan het centrale meldpunt of om te kunnen voldoen aan een bevel van een opsporingsinstantie. De gegevens die moeten worden vastgelegd en bewaard, zijn genoemd in artikel 33 Wwft.
Gelet op het beginsel van minimale gegevensverwerking, is het uitgangspunt dat gegevens die niet in artikel 33 Wwft zijn genoemd, niet verwerkt mogen worden. Verwerkt een financiële onderneming meer gegevens, dan moet zij verantwoorden waarom het vastleggen en bewaren van die gegevens noodzakelijk is voor het verrichten van een goed en volledig cliëntenonderzoek. ABN Amro kon dat in deze zaak in ieder geval niet verantwoorden.
De Geschillencommissie komt dan ook tot de conclusie dat voor het vastleggen en bewaren van een onbewerkte kopie van het gebruikte identiteitsbewijs niet noodzakelijk is en dat de pasfoto moet worden afgeschermd. Bovendien moeten financiële ondernemingen voorkomen dat misbruik wordt gemaakt van vastgelegde kopietjes paspoorten door het aanbrengen van een watermerk.
Conclusie
Zelfs indien ABN Amro hoger beroep zou instellen dan is het maar de vraag of voldoende duidelijkheid wordt verkregen, ongeacht de uitspraak van de Commissie van Beroep. Van belang is dat de wetgever bij het opleggen van dergelijke verplichtingen zichtbaar rekening houdt met de waarborgen die uit de privacy regelgeving (AVG) volgen.
Niet kan worden volstaan met het opleggen van allerlei verplichtingen aan financiële ondernemingen en dat het aan die financiële ondernemingen is om te bezien of en zo ja, hoe aan privacy regelgeving kan worden voldaan.
Geeft de wetgever die duidelijkheid niet dan zou het aan de betrokken toezichthouders zijn – de Autoriteit Persoonsgegevens en DNB/AFM – om guidance te geven aan financiële ondernemingen zonder dat financiële ondernemingen het risico lopen niet te voldoen aan financiële toezichtregelgeving danwel aan privacy voorschriften.
Tip voor de praktijk!
Tot slot een tip voor de praktijk. Financiële ondernemingen moeten – teneinde te voldoen aan de identificatie- en verificatieplicht – een onbewerkt identiteitsbewijs van de cliënt opvragen.
Om te voldoen aan de verplichting tot het vastleggen en bewaren van gegevens van het cliëntonderzoek moeten financiële ondernemingen na ontvangst van het identiteitsbewijs deze zodanig vastleggen dat de pasfoto is afgeschermd en dat een watermerk is aangebracht om misbruik te voorkomen. De Wwft bevat namelijk niet de verplichting om een (onbewerkt) kopie van de identiteitsbewijs vast te leggen en te bewaren.
Casper Westerink is advocaat bij Hart Advocaten, dat één van de kennispartners van Fondsnieuws is en maandelijks een bijdrage levert.