Dit is toch ergens van den zotte, dat er een volledige kopie van jou identiteitsgegevens ergens (vast heel erg veilig uhuh) wordt opgeslagen (oneindig want geen leeftijdsbeperking, mee gaat in back-ups en dus zo verspreid wordt)..
Zelfs de overheid raad middels de app kopie-id aan om bepaalde gedeeltes (deels) te markeren en/of te watermerken waar de kopie in dat speciefieke geval voor bedoeld is.

Ik heb een mededeling voor de bank: aan de hand van een foto of scan van een identiteitsbewijs is het nooit mogelijk om een echtheidscontrole uit te voeren. Het al dan niet afplakken van gevoelige data doet in deze dus niet ter zake.

Dit is wellicht niet in strijd met de AVG, meer wel complete idioterie.

Zoals ik eerder deze week in https://tweakers.net/nieuws/206416/google-brengt-credential-manager-api-uit-voor-wachtwoordloos-inloggen.html?showReaction=18438578#r_18438578 ongeveer schreef:
----------
Als Organisatie 1 jou, op afstand, om een kopie of scan van jouw identiteitsbewijs vraagt, is dat identificatie.

Dat is géén authenticatie omdat degene die de kopie of scan van jouw identiteitsbewijs in handen heeft of krijgt (geautoriseerd of ongeautoriseerd), zich voor kan doen als jou bij Organisatie 2 - simpelweg door die kopie of scan door te sturen.

Dus ook Organisatie 1 heeft geen zekerheid dat jij die kopie of scan hebt opgestuurd.
En hoe meer organisaties "kopietjes-ID" ontvangen, hoe groter het risico op identiteitsfraude na datalekken en/of door foute medewerkers.

"Absolute" [*] authenticatie daarentegen, kan alleen betrouwbaar in levenden lijve plaatsvinden - waarbij zowel het originele identiteitsbewijs op echtheid en manipulatie moet worden gecontroleerd, als de beschreven kenmerken (pasfoto, lengte, kleur van de ogen, -discutabel- geslacht etc.) moeten worden vergeleken met de betreffende persoon.

[*] "Absolute" in de zin van dat je ergens (nog) geen account hebt waarbij jouw identiteit eerder voldoende betrouwbaar (voor de betreffende toepassing) is geverifieerd.

Lijkt mij een mooie casus voor de Autoriteit Persoonsgegevens. De vrouw dient dan daar wel zelf de klacht in te dienen.
Voorts is het toch wel apart dat de Kifid zich zelfstandig bevoegd acht deze klacht in behandeling te nemen. Was wellicht netter als zij naar de AP hadden verwezen. Wellicht kan een jurist nog eens naar kijken hoe het met de bevoegdheid in deze casus zit.

En dat is exact waarom je niet naar het kifid stapt maar meteen hoger gaat zitten met bezwaarmaking en bewijsverzameling.

De klant had dit makkelijk kunnen voorkomen door de overheid app te gebruiken voor afscherming dit is namelijk het overheids advies. De bank had dan het argument van bewerkte foto niet kunnen gebruiken want de applicatie is gecertificeerd. Verder Wwft stelt nergens in de regelementen dat controle van BSN verplicht is.
De bank komt gebruikelijk dan met het weerwoord dat het niet de Wwft maar de CRS/FACTA naleving betreft.
Maar dat is ook vals.

Ik heb de organisatie achter de europese wetgeving vorig jaar samen met belastingdienst in een soortgelijk geval benaderd. En toen zowel belastingdienst alswel de Economic Co-operation and Development (OECD) aangaven dat het het niet vereist was had de bank geen geldig argument meer.

Daarmee zou dus persoonlijke gegevens verwerkt worden zonder wettelijke grondslag wat een GDPR overtreding is gezien er ten alle tijden enkel noodzakelijke persoongegevens dienen verwerkt te worden. Toen ik ze met die verslaggeving confronteerde koos de bank eieren voor zijn geld. BSN niet meer nodig voor de controle en watermerk was toegelaten.

De reden dat het niet vereist was is omdat de bank enkel bij een nieuwe klant alle gegevens nodig heeft. Bij controle is dat niet het geval.

Vrijwel zeker dat banken nu deze kifid uitspraak als argument gaan gebruiken bij soortgelijke cases inclusief mijne over een jaar maar onthou goed dat kifid een advies orgaan is het bepaalt niet de wetgeving en kan ook geen bindende uitspraak doen.

Dus als je zeker bent dat de uitspraak geen standhoud onder Nederlands en Europees recht call there bluff. En je bent nooit verplicht eerst langs kifid te gaan met je bezwaar al moet je wel rekening houden met kosten voor mogelijke proces voering.

Bovendien mag het opslaan van een kopie paspoort/id/rijbewijs nog steeds niet omdat deze documenten eigendom van de staat blijven en volgens de paspoort wet niet mogen worden gekopieerd, los van avg.

Dat de overheid een kopie-id als mogelijk echt ziet is echt van de zotte.
Een kopietje is geen bewijs, probeer het eens met een kopietje van geld.
Het probleem is dat de overheid ruimte geeft aan big brother figuren die met privacy schermen.

abn is toch al een plek waar je niet wilt zijn.

Dat was natuurlijk dom. De vrouw had moeten/kunnen weten dat de bank het BSN moet controleren en verwerken, en dat ze dit dus niet moet afplakken in dit geval. Dat zou wel kunnen als het om een telefoonabonnement oid ging, maar niet bij identificatie voor een bank.
Een tekst "ABN AMRO" was vast wel geaccepteerd in eerste instantie, maar doordat ze te ver ging en daarna de grens ging opzoeken werd dit ook afgekeurd.
Niet zo handig allemaal.

Inderdaad nonsens van ABN. Bijvoorbeeld Bigbank huurt een bedrijf in die komt aan huis jou identificeren zonder een kopie van je ID te maken.

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/identiteitsbewijs#mag-een-bank-creditcardmaatschappij-verzekeraar-notaris-of-casino-een-kopie-van-mijn-identiteitsbewijs-maken-5163:
(maar je mag wel vragen waarom zo'n complete kopie nodig is, en bij fout antwoord hoef je het niet te geven)

En dan nog dit:
https://autoriteitpersoonsgegevens.nl/nl/nieuws/nieuwe-wet-opent-deur-naar-ongekende-massasurveillance-door-banken

Het zijn dus niet de mensen zelf, maar het geld van een ieder dat men reuze interessant vind om te volgen.
(ook reuze handig voor de eerste de beste boef die een kijkje in deze informatie kan nemen, of die in de toekomst
aan de macht komt. Dus misschien een goed idee om ervoor te zorgen dat je tegen die tijd platzak bent?)

Stomme vraag misschien. Identificeren kan hoor. Maar ik moest daar onlangs ook de achterkant van mijn pas voor scannen. Toen vroeg ik mij af waarom dat nummer dan op de achterkant is gezet. Het gaat er toch om om vast te stellen dat ik ik ben?

Niet dat ik het erg vind, maar het moest.

Waarom moet dat moeten?

Ik quote jouw bijdrage helemaal, want deze slaat de spijker op z'n kop!

Als de Wwft het verwerken van een BSN niet expliciet verplicht stelt, bevestigt dit mijn beeld hoe partijdig Kifid is. Nog los van dat een BSN een identificerend gegeven is, het kennen ervan betekent niet dat je "dus" de persoon met dat BSN moet zijn. En dat het Kifid niet bepaalt wat wel of niet privacygevoelige informatie is.

Daar is een prima app voor die dat regelt. BSN afgeschermd en tekst over het ID-bewijs heen voor wie het bestemd is.
De app heet Kopie-ID, en wordt door elke bank geaccepteerd.

Gewoon een klacht indienen bij de FG van de ABN en vervolgens bij de AP. Zie nog steeds geen goede motivatie om een legitimatiebewijs ook feitelijk op te slaan als organisatie. Voor identificatie zou het tonen voldoende moeten zijn. Rare redenering vanuit privacy perspectief van de bank en ook van t Kifid

Het Kifid, door banken en voor banken, alle uitspraken die ze doen in het voordeel van een klant zijn niets zeggende zaakjes over een spaarbankboekje of zo. Maar als het echt ergens om gaat is de beslissing altijd in het voordeel van de financiële instelling zoals bank of verzekeraar.

Stap gewoon naar de rechter, het Kifid is in het leven geroepen om het aantal rechtzaken tegen financiële instellingen te verminderen, door wat handjeklap met de overheid hebben ze een .... kuch... onafhankelijke klachtencomissie in het leven geroepen.

Waar haal je deze onzin vandaan? Hoezo niet mogen kopieren?

Des te meer instellingen dit recht dienen toe te eigenen vanwege $nieuwe_wet des te minder je ID waard wordt.
Vervolgens heeft de overheid weer een mooie usecase voor hun digitale ID die dan wel veilig en betrouwbaar is.

Verwerking BSN

Voor de identificatieplicht uit de Wwft mogen banken, verzekeraars en andere in de Wwft aangewezen partijen uw BSN niet verwerken. Ook met een afgeschermde kopie van uw identiteitsbewijs kunnen deze partijen namelijk aantonen dat ze aan hun identificatieplicht uit de Wwft voldoen.

Toch kunnen banken door fiscale wetgeving wel verplicht zijn uw BSN te verwerken. Bijvoorbeeld vanuit de Algemene wet inzake rijksbelastingen en het depositogarantiestelsel. Uw bank moet u dan wel informeren dat de bank voor dat doel uw BSN nodig heeft.

In de praktijk kunnen banken een kopie van uw identiteitsbewijs maken of vragen om aan alle wettelijke verplichtingen tegelijk te voldoen. In dat geval mogen zij een volledige kopie van uw identiteitsbewijs verwerken. En mag u uw BSN dus niet onleesbaar maken op de kopie.

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/identiteitsbewijs

Juridische vraag: Er bestaat een KopieID app, las ik.


https://www.security.nl/posting/617503/Juridische+vraag%3A+Waarom+heeft+de+nieuwe+KopieID+app+niet+gewoon+een+lijst+van+organisaties+die+een+kopie+ID+mogen+maken%3F

En waarom zou die anders oordelen ? De juridische situatie :

Verwerking BSN

Voor de identificatieplicht uit de Wwft mogen banken, verzekeraars en andere in de Wwft aangewezen partijen uw BSN niet verwerken. Ook met een afgeschermde kopie van uw identiteitsbewijs kunnen deze partijen namelijk aantonen dat ze aan hun identificatieplicht uit de Wwft voldoen.

Toch kunnen banken door fiscale wetgeving wel verplicht zijn uw BSN te verwerken. Bijvoorbeeld vanuit de Algemene wet inzake rijksbelastingen en het depositogarantiestelsel. Uw bank moet u dan wel informeren dat de bank voor dat doel uw BSN nodig heeft.

In de praktijk kunnen banken een kopie van uw identiteitsbewijs maken of vragen om aan alle wettelijke verplichtingen tegelijk te voldoen. In dat geval mogen zij een volledige kopie van uw identiteitsbewijs verwerken. En mag u uw BSN dus niet onleesbaar maken op de kopie.

Applicaties met trackers is nooit prima.

Ja dat is wel jammer dat meteen contact wordt gemaakt met: dictucountly-prod.intermax.nl over poort 443.

Zal wel een cloud server van ze zijn waar onze overheid gebruik van maakt.

Eens, Kifid is sowieso opgericht door de financiële brancheorganisaties. Hoewel de organisatie als stichting op enige afstand staat, is mijn beeld dat ze toch vaak wat meer ten gunste van de financiële instellingen beslissen dan ten gunste van klagers.

Nu ken ik de Wwft niet, maar als het uitsluitend om identificeren gaat, dan is er in mijn ogen maar één proces dat strikt genomen juist is en waarbij er geen privacy schending nodig is. Dat proces is als volgt:
1) Jij gaat als persoon naar een filiaal van de bank met je legitimatiebewijs.
2) Een medewerker van de bank controleert of jij ook daadwerkelijk de persoon op het identificatiebewijs bent.
3) Vervolgens controleert de medewerker of jouw gegevens corresponderen met de gegevens in de administratie van de bank.
4) Vervolgens zet de medewerker een vinkje: "klantidentiteit geverifieerd op <datum>, te <locatie>.

Op deze manier heeft de bank aantoonbaar de identiteit gevalideerd. Daarvoor is helemaal geen kopie van het identiteitsbewijs nodig en het is nog betrouwbaarder ook.

Ik ben geen jurist, maar ik denk dat deze dame een sterke zaak heeft. De Algemene Verordening Gegevensbescherming vereist dataminimalisatie. Dat wil zeggen dat er niet meer persoonsgegevens mogen worden verwerkt dan strikt noodzakelijk is voor de doeleinden waarvoor ze worden verwerkt. De procedure die nu door banken wordt gehanteerd, voldoet hier niet aan.

De banken zitten niet te wachten op een fysieke controle, want het kost geld. Daarnaast denk ik dat ook klanten er niet altijd op zitten te wachten om een dag vrij te nemen om zich bij een bankfiliaal te melden. Maar een bank zou minimaal een fysieke controle zonder opslag van een kopie legitimatie moeten aanbieden. Daarnaast kunnen ze dan de mogelijkheid bieden om het op afstand te doen als een klant dat wil. Daarvoor biedt de grondslag 'toestemming' in de AVG ruimte.

https://uitspraken.rechtspraak.nl/#!/details?id=ECLI:NL:RBAMS:2023:145 - https://uitspraken.rechtspraak.nl/#!/details?id=ECLI:NL:RBAMS:2023:145

In deze zaak wordt één en ander op een rijtje gezet m.n. 4.8 t/m 4.8. Er is dus een geldige grondslag, zowel voor het opvragen als opslaan van een in dit geval onbewerkte kopie. Er moeten wel passende waarborgen worden genomen, bijvoorbeeld om misbruik van het identiteitsbewijs te voorkomen. Passend was in dit specifieke geval het aanbrengen van een watermerk, om het risico op misbruik terug te dringen.

Kan me voorstellen dat er vanuit security nog aan te vullen valt.

[/quote]Ik quote jouw bijdrage helemaal, want deze slaat de spijker op z'n kop!

Als de Wwft het verwerken van een BSN niet expliciet verplicht stelt, bevestigt dit mijn beeld hoe partijdig Kifid is. Nog los van dat een BSN een identificerend gegeven is, het kennen ervan betekent niet dat je "dus" de persoon met dat BSN moet zijn. En dat het Kifid niet bepaalt wat wel of niet privacygevoelige informatie is.[/quote]
Eens, maar zie bijvoorbeeld: https://uitspraken.rechtspraak.nl/#!/details?id=ECLI:NL:RBAMS:2023:145

-> Verwerken van BSN wordt dus weldegelijk expliciet verplicht gesteld: Zowel het opvragen, beoordelen als opslaan daarvan. Mits uiteraard passende maatregelen worden geïmplementeerd (zoals in elk geval het aanbrengen van een watermerk om misbruik tegen te gaan).

Om te bepalen of de uitspraak van de beroepscommissie van het financiële klachteninstituut Kifid, dat ABN Amro een onbewerkte foto of scan van een identiteitsdocument mag opslaan, aan de tekst van de AVG voldoet, moeten we de relevante bepalingen van de AVG bekijken.

Artikel 5 van de AVG bevat de beginselen voor gegevensverwerking, waaronder transparantie, doeleindenbeperking en verantwoordelijkheid. Dit betekent dat ABN Amro duidelijk moet zijn over het doel en de manier waarop zij persoonsgegevens verwerkt, en verantwoording moet afleggen voor de verwerking van persoonsgegevens.

Artikel 6 van de AVG stelt de juridische grondslagen vast voor gegevensverwerking, waaronder het verwerken van persoonsgegevens voor specifieke doeleinden die in de wet zijn vastgesteld. In dit geval stelt ABN Amro dat zij de foto of scan van het identiteitsdocument verwerkt om aan haar verplichtingen te voldoen onder de Wet ter voorkoming van witwassen en financieren (Wwft) van terrorisme.

Artikel 9 van de AVG bevat specifieke bepalingen over de verwerking van bijzondere persoonsgegevens, waaronder identificatiegegevens. Dit betekent dat ABN Amro voorzichtig moet zijn bij het verwerken van identificatiegegevens en er zorgvuldig mee om moet gaan.

Op basis van deze bepalingen van de AVG kan worden gezegd dat de uitspraak van de beroepscommissie van Kifid in overeenstemming is met de AVG, aangezien ABN Amro verantwoording moet afleggen voor haar verwerking van persoonsgegevens en er voorzichtig mee om moet gaan, en aangezien zij stelt dat de verwerking van de foto of scan van het identiteitsdocument noodzakelijk is om aan haar verplichtingen onder de Wwft te voldoen. Echter, de uitspraak van de beroepscommissie dient altijd te worden beoordeeld in het licht van de specifieke feiten en omstandigheden van het geval.

Ik zie het anders, zie https://www.security.nl/posting/785240/ABN+Amro+mag+onbewerkte+kopie+van+identiteitsdocument+toch+opslaan?channel=rss .

Er bestaat een grondslag (een verplichting zelfs) om kopie identiteitsbewijs op te vragen en op te slaan (uiteraard mits omkleed met de juiste waarborgen. Spreek dus bijvoorbeeld met de FG, voer een DPIA uit en archiveer deze vanuit accountability). Zodra er een grondslag is, mogen de gegevens worden verwerkt. Het dataminimalisatie beginsel is niet absoluut, maar moet binnen de grenzen van de toegestane verwerking worden toegepast. Dataminimalisatie (net als opslagbeperking en de overige beginselen uit artikel 6) doorkruisen nooit een wettelijke grondslag. Dit is ook de reden dat er ‘altijd’ een grondslag is, in het uiterste geval is het een kwestie van lobbyen en nieuwe wetgeving, denk bijvoorbeeld aan de coronawet die deels om deze reden is opgetuigd.

Helaas, overheid heeft dit ook duidelijk uitgelegd:

https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/ben-ik-verplicht-om-een-kopie-van-mijn-identiteitsbewijs-te-geven-aan-een-bedrijf
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/identiteitsbewijs#mag-een-bank-creditcardmaatschappij-verzekeraar-notaris-of-casino-een-kopie-van-mijn-identiteitsbewijs-maken-5163

Banken moeten volgens de wetgeving een kopie volledig hebben van je paspoort, en moet dit wettelijk zelfs 5 jaar vast houden. Ja, het bypassed de AVG/GDPR, en dat is nogal een ding wat blijkbaar gaat botsen. Waarschijnlijk moet er eerst een datalek ontstaan bij de banken, wil de overheid wakker worden dat dit gewoon niet handig is...

Lees de links die je geeft nog eens goed, banken moeten niet om een volledige kopie van je identiteitsbewijs vragen, ze mogen het om aan wettelijke verplichtingen te voldoen. Dat betekent dat een bank daar inderdaad om kan vragen, dus als een bank dat doet dan heb je het ermee te doen, maar het is niet zo dat de wet voorschrijft dat ze het precies op die manier regelen.
Nee, het passeert de AVG niet. Het voldoen aan een wettelijke verplichting is namelijk een geldige verwerkingsgrondslag voor de AVG. Als dat niet in de AVG had gestaan had je inderdaad met botsende wetten te maken gehad, maar in de AVG zelf is geregeld dat het geen botsing of bypass is.

Goed lezen we hebben het over de Wwft en daar is de BSN controle niet vereist. Het staat letterlijk in je link.

Verwerking BSN
Voor de identificatieplicht uit de Wwft mogen banken, verzekeraars en andere in de Wwft aangewezen partijen uw BSN niet verwerken. Ook met een afgeschermde kopie van uw identiteitsbewijs kunnen deze partijen namelijk aantonen dat ze aan hun identificatieplicht uit de Wwft voldoen.


De rest gaat over uitzonderingen op die regel maar niet over de Wwft. De GDPR staat enkel verwerking toe met geldige grondslag en voor Wwft en CRS/FACTA is die er niet dus mag het BSN niet gecontroleerd worden. Ergo het argument van kifid dat dit mag vanuit de Wwft is onjuist.

De bank zal een aanvullende reden moeten geven maar die is er niet onder de huidige wetgeving. Het wordt een ander verhaal als je verdacht bent van fraude maar dan hebben we het over een politie, fiscaal onderzoek waaraan een bank moet meewerken maar dat kunnen ze zelf niet bepalen.

De banken hebben geprobeerd dit wel voor de Wwft te laten gelden tijdens een lobby vorig jaar maar die is er niet doorgekomen. Dat zou onderdeel zijn dan van biometrische verwerking aanpassing en verplichting van opslag. Dit is in de laatste revisie geschapt voor invoering van de wet aanpassing.

Het gaat niet meer om het afschermen van het BSN maar om de bewerkte foto.

Het begon met:
De klant besloot het online identificatieproces te doorlopen en bracht op de voor- en achterkant van haar identiteitsdocument plakband aan met daarop de tekst ‘ABN AMRO’ en plakte het Burgerservicenummer (BSN) af.

Daarop werd het afgekeurd, vervolgens:
De klant leverde vervolgens opnieuw een foto van een bewerkt identiteitsdocument aan en wederom besloot ABN Amro de foto niet goed te keuren.

De motivering van de bank is dat ze de foto niet kunnen valideren op echtheid, wat onzin is aangezien dat NOOIT mogelijk is met een kopie van een ID bewijs.

Maar goed, ze zijn met 7 man, 5 medewerkers en 2 advocaten, even naar het Kifid gestapt en de consument was er niet bij aanwezig.

Ze dronken gezellig een bakje koffie met appeltaart en keerden tevreden huiswaards.

En, naar eigen zeggen 5 miljoen bespaard om een automatisch implementatie te laten maken om documenten "bewerkt" op te slaan.

De zaak maakt nog weer duidelijker dat, ongeacht welke privacy-bescherming de AVG in theorie biedt, die in de praktijk een wassen neus is, omdat The Powers That Be (inclusief de banken) linksom of rechtsom wel een manier vinden om vrijwel alle mensen te dwingen hun persoonsgegevens te laten verwerken. Anders wordt het leven je te moeilijk gemaakt. Rechters werken daar veelal aan mee. De AVG is in essentie alleen nog een schaamlap om te doen alsof je recht op privacy wordt beschermd en je op die manier de mond te snoeren en je aandacht af te leiden. We kunnen wel subtiel gaan dimdammen over de precieze uitleg van juridische paragrafen - dat heb ik zelf ook jarenlang geprobeerd, met groot uithoudingsvermogen, tot aan het Europese mensenrechtenhof (EHRM) toe. Maar: the game is rigged.

Als puntje bij paaltje komt, tellen juridische en andere argumenten niet, dat wil zeggen: ze tellen alleen als ze uit de mond van bepaalde, machtige en bevoorrechte partijen komen. Uit de mond van gewone burgers tellen ze niet.

Er zal eerst een radicale politieke koerswijziging moeten komen voordat ons recht op serieuze privacy een kans maakt om weer gerespecteerd te worden.

Ik schat in dat zo'n radicale politieke koerswijziging er pas komt als heel veel mensen zo boos worden, dat ze op zijn minst een deel van het bestaande systeem ernstige schade toebrengen of zelfs laten instorten. Het is dus wachten op een "trigger event".

Ik vind het heel jammer dat er bij diegenen die de steunpilaren van onze rechtsstaat zouden moeten zijn, zo weinig gewetensvorming, laat staan moed is. Maar er zit niets anders op dan de realiteit onder ogen te zien.

M.J.

In de AVG staan een aantal zaken niet uitgewerkt omdat door verschillende EU lidstaten een ander belang wordt gegeven aan die specifieke zaken. Kortom, bij invoering van de GDPR (AVG) waren er nog steeds onenigheden. En dus mocht elke lidstaat anders omgaan met die specifieke zaken.

Voorbeeld?
- Wanneer is iemand voor de AVG volwassen genoeg om zelf te beslissen. In sommige landen 16 jaar. In Nederland 18 jaar.
- en een zaak als een een nationaal identificatienummer is helemaal niet genoemd.

Elk land mag die (in de AVG opengelaten) zaken zelf regelen.
In Nederland is dat oa in de Uitvoeringswet Algemene verordening gegevensbescherming. Daarin staan zaken als
- wie is in Nederland de toezichthouder (Hoofdstuk 2).
- wanneer is iemand ihkv de AVG volwassen (kon ik niet vinden, misschien heb ik het hier mis).
- En in artikel 46 gaat het over de 'verwerking nationaal identificatienummer.

In artikel 46 staat
1 Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de desbetreffende wet dan wel voor doeleinden bij de wet bepaald.

2 Bij algemene maatregel van bestuur kunnen andere dan in het eerste lid bedoelde gevallen worden aangewezen waarin een daarbij aan te wijzen nummer als bedoeld in het eerste lid, kan worden gebruikt. Daarbij kunnen nadere regels worden gegeven over het gebruik van een zodanig nummer.

Dus.....
Is er een wet die dit voorschrijft? (dat kan de Wwft zijn; ik weet het niet)
Is er een maatregel van bestuur die dit voorschrijft?
Indien beiden nee, dan is het dus verboden.

Voor wie er wat mee wil
Als het nergens staat, dan mag het niet. Ergens staa

Anoniem @11-02-2023, 23:56 en Anoniem @12-02-2023, 00:02 noemen (waarvoor mijn dank):
https://uitspraken.rechtspraak.nl/#!/details?id=ECLI:NL:RBAMS:2023:145.

Het is inderdaad merkwaardig dat je voor uitleg over wettelijke regels die de AVG/GDPR overrulen op de website vab de AP zou moeten kijken.

Maar... waarom staat dan in https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/ben-ik-verplicht-om-een-kopie-van-mijn-identiteitsbewijs-te-geven-aan-een-bedrijf (opmaak toegevoegd door mij):
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/identiteitsbewijs

Waarom stuurt de overheid haar burgers van het kastje naar de muur?

Belangrijker (over achterlijke rechters gesproken), tevens uit die uitspraak (vette + cursieve opmaak door mij):

Waaruit exact blijkt dat de door banken gehanteerde "innovatieve" methode (uit einde van 4.4) "door de relevante nationale autoriteiten is gereglementeerd, erkend, goedgekeurd of aanvaard"?

Mijn uitgangspunt: authenticatie (uit de tekst hierboven: "vaststellen dat de opgegeven identiteit van de klant overeenkomt met de werkelijke identiteit") van rekeninghouders in het kader van de Wwft is noodzakelijk om te voorkómen dat witwassers zich achter de identiteit van anderen kunnen verschuilen. Maar dat kan helemaal niet op deze manier.

Want, in https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/identiteitsfraude-voorkomen staat onder meer (onderstrepen toegevoegd door mij):

[2] https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/fraude-voorkomen-met-kopie-id-bewijs

[3] https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/veilige-kopie-identiteitsbewijs

Het gegeven "Met een kopie van uw identiteitsbewijs kunnen oplichters een online bankrekening openen" is abject (laat ik dat woord ook maar eens gebruiken, juristen schijnen dan de ernst te snappen). Daarmee is de hele Wwft flauwe kul.

Voorts uit de uitspraak:

Uit https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/identiteitsfraude-voorkomen:

Sinds wanneer kun je met een smartphone (o.a. zonder "blacklight") de echtheid van een identiteitsbewijs vaststellen? En hoe weet je of die scan en de tevens gemaakte foto van de persoon, toebehoren aan de rekeninghouder?

Bovendien, door ICS gelijk te geven dat een identiteitsbewijs niet gewaarmerkt mag worden, vergroot de rechter het probleem doordat het aantal in omloop zijnde niet gewaarmerkte kopiën toeneemt en dus "Met een kopie van uw identiteitsbewijs kunnen oplichters een online bankrekening openen" eenvoudiger maakt.

Direct daarachter in de uitspraak:
Ah het wonderapparaat: https://www.mr-online.nl/notarissen-raken-stevig-geirriteerd-over-niet-functionerende-wid-scanner/. Als zo'n apparaat wél betrouwbaar zou werken, en scans niet worden opgeslagen, heb ik daar geen grote bezwaren tegen (maar tevens een handmatige controle van de echtheidskenmerken van een aangeboden identiteitsbewijs, om te voorkomen dat een fraudeur "jouw" of "mijn" identiteitsbewijs met haar/zijn foto erop heeft overlegd, lijkt mij wenselijk.

CONCLUSIE
Ik heb nieuws voor deze rechter, de EU en DNB ([4]): het is, mede vanwege (uit de uitspraak) "de laatste technologische ontwikkelingen" (waaronder "deep fakes" of via misleiding verkregen beelden en/of spraak en/of biometrische gegevens) onmogelijk om op afstand betrouwbaar vast te stellen dat een persoon niet is wie zij of hij zegt te zijn.

Kappen met die onzin!

[4] https://autoriteitpersoonsgegevens.nl/nl/nieuws/gebruik-kopie-scan-identiteitsbewijs-door-banken-voor-wid-mag-%C2%A0

P.S. In https://security.nl/posting/780447 beschreef ik een oplossing zonder dat daar een (prijzige) notaris voor nodig is.

@Erik van Straten op 13-02-2023 om 01:58 uur

Dank voor je analyse, en ook voor je conclusie:


Ik kan je betoog op zichzelf volgen, maar je lijkt daarin uit te gaan van de werkhypothese (aanname, premisse) dat het degenen die dit samenstel van technische voorzieningen en quasi-"juridische" spelregels al colluderend met elkaar bij elkaar hebben geknutseld, te doen is om drie dingen:
(1) preventie fraude/witwassen;
(2) het daartoe controleren van de identiteit van klanten van banken;
(3) daarbij ook nog iets doen aan (althans een schijn van) privacy-bescherming.

Als we naar de ontwikkelingen en onthullingen van de afgelopen jaren kijken, dan is deze aanname/werkhypothese niet plausibel meer, en in feite volstrekt ongeloofwaardig. Het gaat de betreffende partijen (d.w.z. overheden en banken) in hoofdzaak om twee heel andere dingen:
(4) het bemachtigen van de persoonsgegevens van zoveel mogelijk mensen (inclusief bankklanten);
(5) het (kunnen) uitoefenen van macht over zoveel mogelijk mensen (inclusief bankklanten).

Als je het zo bekijkt, dan is de combinatie van de volgende activiteiten
- (a) het stellen van onzinnige identificatie/authenticatie-eisen;
- (b) het door de rechters accepteren en goedkeuren van die onzinnige eisen; en
- (c) het in samenspel met elkaar stichten van verwarring met tegenstrijdige beweringen
GEEN ONZIN, maar een geschikte methode om mensen te onderwerpen aan een panopticon en daarmee aan een autoritair regime.

Het is goed om de methodes van onze autoritaire machthebbers te analyseren, zoals jij doet. Maar het is een valkuil om bij het maken van die analyses klakkeloos aan te nemen dat de door die machthebbers zelf genoemde motieven hun werkelijke motieven zouden zijn. Dat doen we bij Poetin niet. Dus waarom zouden we het bij Nederlandse of Europese machthebbers wel doen?

Omdat die laatsten over één of ander genetisch bepaald "fatsoen" zouden beschikken, of allemaal een "waarheidsserum" hebben gedronken? Dat zou je me misschien wijs kunnen maken als ik tien jaar oud was en nog niks anders had gezien dan Bambi-films.

In je PS verwijs je naar een oplossing die je in je posting https://security.nl/posting/780447 hebt beschreven. Je schreef daar onder andere:


Ik reageerde daar als volgt op:


De combinatie van neoliberalisme en technocratische vormen van digitalisering heeft een destructieve uitwerking op onze samenleving, doordat het tussen mensen fysieke en mentale afstand, calculerend gedrag en daardoor (zowel terecht als onterecht) wantrouwen veroorzaakt.

Om die vernietiging van vertrouwen en ander sociaal kapitaal te stoppen, te mitigeren en te genezen, is het nodig om:
-- de waarde van privacy te gaan onderkennen (voor de neoliberalen onder ons: zonder privacy is er uiteindelijk ook geen kapitalisme mogelijk, er blijft dan alleen totalitarisme over waarbij één enkel regime over alle middelen beschikt);
-- privacy serieus te gaan beschermen, hetgeen wil zeggen: daadwerkelijk gaan beschermen. Zoals het nu gaat, beschermen we privacy even goed als dat we bewoners vlak onder de Bulderbaan van vliegveld Schiphol een aantal decennia lang tegen geluidsoverlast zg. "beschermden" door middel van het telkens verder oprekken van de geluidsnormen voor vliegverkeer.

Onze huidige bestuurders, volksvertegenwoordigers en rechters hebben laten zien dat ze voor het overgrote deel in La La Fantasieland willen blijven leven, waarin iedereen "can have his cake en eat it". Bijvoorbeeld:
-- "We kunnen de agro-industrie steeds verder uitbreiden en tegelijk het milieu beschermen" (leidend tot de Stikstofcrisis);
-- "We kunnen de NAVO steeds verder uitbreiden en tegelijk goede maatjes blijven met Poetins regime" (leidend tot de Oekraïne-oorlog zonder dat er een adequaat plan was voor de bescherming van Oekraïners - ach ja, detailfoutje);
-- "We kunnen de persoonsgegevens van iedereen roven en iedereen in een panopticon dwingen en tegelijk ieders privacy beschermen." (leidend tot een steeds verder voortwoekerende vertrouwenscrisis, en straks wellicht tot een nog veel ergere crisis)

De kern van het probleem is niet dat bestuurders, bankiers, volksvertegenwoordigers en rechters jouw analyse niet zouden snappen. De kern van het probleem is dat ze aan "doublethink" doen omdat ze jouw analyse niet willen snappen of niet publiekelijk durven te snappen. Daarom zou je die "doublethink" en de sociopathische problematiek van onze bestuurders, bankiers, rechters etc. als factor moeten opnemen in de verzameling feiten die het onderwerp zijn van jouw analyse.

Anders kom je met je analyse namelijk eveneens in La La Fantasieland terecht.

M.J.

Uit https://security.nl/posting/780453:
Kosten, zoals van authenticatie, worden altijd doorberekend aan de betrokken consumenten, verdeeld over alle klanten en/of betaald uit "algemene middelen" (belastingen). Maar als authenticatie niet zorgvuldig plaatsvindt, kan dit tot grote aantallen slachtoffers van identiteitsfraude leiden - een soort "winnend" lot in een negatieve loterij waar iedereen verplicht aan mee moet doen.

Het gaat in het geval dat ik hierboven (https://security.nl/posting/785451) aanhaalde om opnieuw moeten authenticeren i.h.k.v. de Wwft, dat is iets dat de landelijke overheid noodzakelijk acht (ik had al ik weet niet hoe lang een Visa kaart, ooit via de ANWB verkregen, en heb deze -onder protest- bij ICS opgezegd toen ik mij, op deze voor mij risicovolle wijze, opnieuw bij hen moest authenticeren).

Als de overheid iets noodzakelijk acht, kun je argumenteren dat die overheid dat dan maar moet betalen. Aan de andere kant, als ik 10 bankrekeningen zou hebben, waarom moeten mensen met 1 bankrekening dan (via belastingen) meebetalen aan iets wat ik wil? Gezien de risico's die ik loop had ik er best wel wat geld aan leges voor over gehad.

[cynisme aan]
Immers, bankieren is veel goedkoper geworden door de vele gesloten bankfilialen (waar in person authenticatie prima had kunnen plaatsvinden), opgedoekte geldautomaten, afname van acceptgiro's en andere bankgerelateerde post, en ontmenselijking (digitalisering) in het algemeen.
[cynisme uit]

Zelfs een systeem met kleine "Geldmaat" kantoren van de gezamenlijke banken zou authenticatie in levenden lijve (en evt. andere diensten voor mensen die niet zonder kunnen) mogelijk kunnen maken, maar ook dat kost geld.

Sowieso betalen bankklanten, naast aan aandeelhouders en absurde bonussen, steeds meer geld aan witwasbestrijding - waar financiële instellingen steeds meer personeel voor hebben rondlopen. En, vermoedelijk omdat criminelen hun zwarte geld via meerdere geldezels witwassen (om de bedragen niet te hoog te laten oplopen, wat opvalt), moet binnenkort elk overgemaakt bedrag van 100 Euro of meer "tegen het licht" worden gehouden. Mijn voorspelling: voor ons hogere kosten, veel meer geldezels (kale kippen) en nauwelijks of geen extra opgesloten witwassers. Want als banken hen al opsporen, heeft het OM onvoldoende personeel om er -bijtijds- een zaak van te maken.

We betalen met z'n allen dus voor totaal onzinnige werkverschaffing die Nederland B.V. niets oplevert - in tegendeel, als de betrokken werknemers hun handjes zouden laten wapperen voor iets dat Nederland wel rijker maakt, zou dat ten goede komen aan onze welvaart (met het risico op een grotere belangstelling voor ons land door economische "vluchtelingen" - elk voordeel hep zn nadeel).

M.b.t. jouw extreme complottheoriën: er valt veel aan te merken op hoe de zaken in Nederland geregeld zijn. En, totale onkunde via belangenverstrengeling t/m ordinaire corruptie komen vaak voor, maar ik peins er niet over om mijzelf een depressie aan te laten praten over een door jou gesignaleerde "destructieve uitwerking op onze samenleving" door whatever - want hoewel ik mij bij elk nieuwsfeit afvraag hoe authentiek en geloofwaardig het is, heb ik geen enkele aanwijzing (anders dan van doemdenkers zoals jij en een stel anderen op deze site) dat Nederland (of een groter gebied) in het geheim bestuurd wordt door "reptielen". Het lukt mij namelijk elke keer uitstekend om "de bewijzen" die jij en jouw handlangers voor complotten (zoals m.b.t. Coronavaccins) aandragen, vaak in een oogwenk en soms met wat meer onderzoek, naar het land der fabelen te verwijzen.

Heb ik kritiek? Ja (flink gezouten af en toe).
Is al het overheidsbeleid dramatisch slecht? Nee.

Ik wens je veel sterkte, wat een rotleven zul jij hebben.

Tijd om ons allemaal te chippen en van een digitale QR code te voorzien.

Dat heeft geen zin, want dan trappen veel mensen in AitM-aanvallen (zie https://security.nl/posting/773644).

Voor de authenticatie (van personen) is het noodzakelijk dat je weet of de controleur betrouwbaar is. Online betekent dat in de praktijk dat je zeker moet weten wie de controleur is - om überhaupt iets over diens betrouwbaarheid te kunnen zeggen (voor zover mogelijk).

Maar aangezien het op betrouwbare wijze vaststellen van de identiteit van partijen op internet (waaronder websites) in de praktijk onmogelijk blijkt voor leken, gaat er mogelijk ook met jouw identiteit gefraudeerd worden zodra je een chip onder of een unieke QR-code op je huid hebt. Of zodra je jouw paspoort in jouw smartphone hebt gedigitaliseerd in een "ID-Wallet" (zie https://tweakers.net/nieuws/204138/nederland-krijgt-een-paspoort-voor-op-internet-hoe-gaat-dat-werken.html?showReaction=18249704#r_18249704).

Zoals ik eindigde in https://security.nl/posting/785451:

Tot zover lijken we het gewoon met elkaar eens te zijn. Maar dan vervolg je:


Hmm... Ik herinner mij niet dat ik ooit iets beweerd heb over "reptielen" die ons zouden besturen. Daar geloof ik namelijk niet in (althans niet in letterlijke zin, maar ik zie wel veel bestuurders die zich "reptielachtig" gedragen, d.w.z. gespeend van empathie, hoewel die dan vaak wel weer nagebootst wordt). Maar goed, misschien weet jij beter dan ik hoe ik erover denk. Hoe dat kan? Nou, misschien omdat jij een reptielenbrein hebt dat automatisch complottheorieën over mij genereert die gewoon moeten kloppen. Oh, nee, sorry, sorry! Was maar een grapje.


Je maakt niet duidelijk welk complot ik m.b.t. coronavaccins zou hebben aangedragen. Ik had kritiek op het zonder (aangetoonde of zelfs maar aannemelijk gemaakte) noodzaak afnemen van grondrechten van mensen, en op de tunnelvisie waar grote aantallen mensen zich, aangespoord door propaganda, klakkeloos inwierpen. Ook zijn er duidelijke aanwijzingen dat het coronabeleid internationaal gecoördineerd werd in of via internationale gremia (WHO, WEF etc. etc.), en dat de regeringen van in naam soevereine, democratische staten zich meer door die gremia lieten leiden dan door wetenschappelijke inzichten, laat staan door kritische stemmen die opgingen in de eigen bevolkingen of onder wetenschappers die de moed hadden iets afwijkends te vertellen. Maar waarom noem jij dat "complottheorieën"?


Je hebt kritiek op de "pennies", maar niet op de "pounds" (penny wise, pound foolish)


Op verschillende punten vind ik het Nederlandse overheidsbeleid dramatisch slecht. Ik zie ook samenhangen tussen de lage kwaliteit van het beleid op verschillende gebieden, die te maken hebben met cultuur en psychologie. Om dat te zien, daar heb ik echt geen complottheorie voor nodig. Om dat niet te zien, daar zou ik wel oogklepjes voor nodig hebben.


Zoals je dit schrijft, komt het op mij niet oprecht over. Het lijkt eerder op een verkapt ad-hominem, waarmee je een beeld van mij opdist als een soort gefrustreerde doemdenker. Jammer. Ik denk dat jij echt beter zou kunnen. Jij zou het vast ook niet prettig vinden als ik jou neerzet als lid van een orkestje dat probeert "normaal" door te spelen met op zich prima melodietjes, maar wel met de pretentie alsof het "business as usual" is, terwijl het schip ondertussen al wat slagzij begint te maken - in ieder geval genoeg om steeds meer kwetsbare dekpassagiers alvast de golven in te vegen.

M.J.

Kappen met die onzin!

Een kopietje ID kan nooit een overtuigend bewijs van de juiste persoon zijn.
Dat dat gepapegaaid wordt als mogelijkheid gaat tegen de wetgeving in.

Nog een aanvulling. Vandaag staat er groot in de krant dat een samenwerkingsverband van journalisten via undercover-filmopnamen zichtbaar hebben gemaakt dat een Israelische ex-geheime-dienst-functionaris (Tal Hanan, oftewel "Jorge") een firma heeft opgebouwd die d.m.v. desinformatie en manipulatie (onder andere bots met fake-profielen) naar eigen zeggen al 33 verkiezingen in landen in alle delen van de wereld heeft beïnvloed (waarvan 27 "succesvol"). Onder de opdrachtgevers bevinden zich vooral overheden en partijen die d.m.v. het winnen van verkiezingen overheden willen worden. Ook stelt deze firma zijn services beschikbaar aan grote bedrijven. https://www.theguardian.com/world/2023/feb/15/revealed-disinformation-team-jorge-claim-meddling-elections-tal-hanan

In The Guardian wordt daarbij vermeld:


Nu kun jij zeggen dat het een "complottheorie" zou zijn als ik zou zeggen dat het zeer waarschijnlijk is dat ook Russische, Chinese, Amerikaanse (VS) en bijv. Nederlandse actoren dergelijke capaciteiten nastreven, hebben opgebouwd en ook inzetten. Of als ik zou zeggen dat het ook zeer waarschijnlijk is dat deze actoren via netwerken verbonden zijn met functionarissen in de overheden van die landen.

Maar hoe naïef wil je dat ik word? Waarom probeer je mij neer te sabelen zodra ik mijn gezonde verstand op dit punt gebruik om enkele voor de hand liggende verbanden te leggen ("to connect the dots")?

Het lijkt of jij jezelf alleen binnen een kader van bepaalde aannames toestaat om kritisch te kijken en te denken, namelijk aannames over het fatsoen en de rechtsstatelijke attitude van bepaalde mensen en organisaties die zich op posities bevinden die bepalend zijn voor het wel of niet functioneren van onze "democratische rechtsstaten".

Waarom roept het bij jou zo'n weerstand op als ik die aannames loslaat en onbevooroordeeld probeer waar te nemen, en probeer te analyseren wat ik waarneem?

Mijn hypothese zou zijn, dat jij voor jezelf een wereldbeeld probeert te beschermen dat jou een gevoel van relatieve veiligheid biedt. Een beeld van een wereld waarin bepaalde instituties nog min of meer functioneren zoals ze zouden moeten functioneren. En dat jij mensen die dat wereldbeeld verstoren, gaat beschuldigen van "complottheorieën" om jouw eigen angsten niet onder ogen te hoeven zien. Maar misschien kun jij hier meer licht opwerpen...

M.J.

Op mijn vooraf deels ingevulde belastingaangiften preiken onder andere mijn banksaldi, en de fiscus kijkt na of ik geen fraude pleeg door foutieve bedragen in te vullen bij aftrekposten. Daar is de schakel BSN bij nodig, dus is je bank of andere financiële instelling gerechtigd je identiteitsbewijs met BSN erop in kopie op te slaan.

Als we ervan uitgaan dat iedereen fraudeert als-ie kan en er voordeel bij meent te hebben, en dat fraude totaal onmogelijk gemaakt moet worden (dus niet achteraf bestraft wanneer ontdekt, maar preventief met technische middelen en protocollen onmogelijk gemaakt), dan kan dat alleen worden gerealiseerd, zelfs maar in theorie, door een totale en totalitaire controle uit te oefenen op elk detail van het leven van elke burger. Dat gaat niet samen met een rechtsstaat, en daardoor ook niet met democratie, en daardoor ook niet met een staat waarin de meerderheid van de bevolking in welvaart en voorspoed leeft.

Maar zelfs dan zou die totale controle niet "werken" zoals door de totalitaire controleurs bedoeld. Het zou namelijk leiden tot onbeheersbare machtsconcentraties, en daarmee ook tot vergaande corruptie ("Wie controleert de controleurs?").
Ook zou het leiden tot extreem onbetrouwbaar gedrag van onderdrukte burgers die alsnog een leven voor zichzelf proberen mogelijk te maken. Dat zou dus eveneens tot vergaande corruptie leiden.

Wie de samenleving probeert te veranderen in een perfect geordende, naadloos functionerende machine, veroorzaakt uiteindelijk chaos, dood en verderf.

Dit werd honderdvijftig jaar geleden al onderkend door J.S. Mill - zie de slotalinea van zijn beroemde werk "On Liberty".

Totalitaire staten hebben geëxperimenteerd met pogingen om perfecte controle op te zetten. Dit leidde tot vreselijke resultaten, en uiteindelijk tot wanorde. Zelfs het extreme en in feite extremistische "zero-Covid"-beleid van China, waarbij alle voorhanden "moderne" en technische middelen werden ingezet, stortte in toen de bevolking in oktober-november 2022 (dus nu nog geen half jaar geleden) in protest uitbrak, en werd in december 2022 door het regime noodgedwongen losgelaten.

Het conglomeraat van Nederlandse grootbanken (waaronder ABN-AMRO) en ministeries streven een totalitaire controle over hun klanten/burgers na, waarmee die klanten/burgers in feite gereduceerd zouden worden tot onderdanen, of eigenlijk nog erger, namelijk tot objecten. Dat is de kant die we nu opgaan. Elke vorm van vrijheid of privacy levert een "veiligheids"- of "fraude"-risico op, dus elke vorm van vrijheid of privacy moet worden geëlimineerd - dat is de logica die nu wordt gevolgd (ook al geeft men dat niet openlijk toe).

Als jij die praktijken "gerechtigd" vindt, dan ben je eigenlijk iemand die het gerechtigd vindt om de hele bevolking stap-voor-stap haar menselijkheid af te pakken en alle burgers te reduceren tot objecten die worden mogen behandeld als dode objecten, als radertjes in een machine.

M.J.

Een bewerkte kopie, zoals met KopieID app, is niet- en kan niet worden gebruikt voor een voldoende betrouwbare online IDENTIFICATIE volgens Wwft. Daarvoor mag/moet een volledige kopie worden gebruikt.

VERWERKEN van data moet beperkt worden tot hetgeen strict noodzakelijk is om aan Wwft te voldoen. De checksum van de MRZ (Machine Readable Zone) is één van de echtheidskenmerken die gecontroleerd moet worden, en als daar BSN in staat, dan mag BSN dus worden verwerkt, voor (ALLEEN) dat doel. Daar is wettelijke grondslag voor op basis van identificatieplicht binnen Wwft. Opslag en verdere verwerking is voor een ander doel, waarvoor ook weer wettelijke grondslag is vereist.

OPSLAG is iets anders dan identificatie. Voor opslag van de kopie, is de eis volgens Wwft dat je misbruik moet voorkomen. Gegevens afschermen helpt het risico op misbruik te verkleinen, maar is geen garantie en ook geen enige manier. Wwft laat partijen vrij in hoe ze dat risico beperken.

De KopieID app van de overheid bepaalt niet wat wel of niet rechtsgeldig is. Het is alleen een hulpmiddel waarmee je attributen kunt afschermen zodat niet meer informatie wordt gedeeld en opgeslagen dan strict noodzakelijk. Maar die app bepaalt niet wat strict noodzakelijk is. De consument moet dit zelf weten. Als ze bijvoorbeeld BSN afschermen terwijl dit wel noodzakelijk is, zoals bij een bank, dan voldoet die kopie simpelweg niet.