image

LeasePlan Bank mag verificatiefilmpje eisen voor openen van rekening

dinsdag 23 juli 2024, 14:43 door Redactie, 16 reacties

LeasePlan Bank mag van klanten die een rekening openen eisen dat ze een verificatiefilmpje van zichzelf uploaden. Een vordering van klanten waarin werd verzocht dit te verbieden is door het financiële klachteninstituut Kifid afgewezen (pdf). De bank biedt haar diensten alleen via internet aan. De klanten hadden een online spaarrekening bij LeasePlan Bank geopend. Voordat zij die spaarrekening konden gebruiken moesten ze eerst een identificatieproces doorlopen.

Het proces bestaat uit het uploaden van een verificatiefilmpje van zichzelf, het uploaden van een foto van het paspoort van de klanten en een overboeking van één euro vanaf een betaalrekening die op naam van de klanten staat. De poging van de klanten om het verificatiefilmpje te uploaden mislukte. Uiteindelijk is het identificatieproces geannuleerd en de spaarrekening gesloten.

De klanten klaagden dat de bank tijdens het aanvraagproces voor de spaarrekening verlangt dat ze een verificatiefilmpje uploaden met een opname van henzelf. De bank mag hen niet verplichten om biometrische persoonsgegevens aan te leveren, aldus de klanten. Die stellen dat deze eis voor het openen van een eenvoudige online privéspaarrekening te zwaar en niet proportioneel is.

De bank beschikt over hun paspoort, BSN, Nederlandse adres, e-mailadres en afschrift van een grootbank. Volgens de klanten zijn er ongetwijfeld andere verificatiemethoden die de bank kan gebruiken. Zo bankieren ze bij een andere bank waar ze geïdentificeerd zijn, daar kan LeasePlan Bank ook navraag doen, zo stellen ze. De klanten vorderden bij het Kifid dat het de bank verboden wordt om bij de aanvraagprocedure biometrische gegevens op te vragen. De klanten willen een spaarrekening kunnen openen zonder dat de bank biometrische gegevens van hen verlangt. Ook vorderen zij dat de bank de eventueel door hen geüploade informatie verwijdert.

LeasePlan Bank stelt in haar verweer dat het vanwege de bedrijfsvoering een fysieke controle niet mogelijk is. Daarom is er gekozen voor het opvragen van een foto van het identiteitsbewijs en een korte selfie video-opname, zodat de foto van het identiteitsbewijs kan worden vergeleken met die video-opname. "De bank kan zelf bepalen op welke wijze invulling wordt gegeven aan de verplichting tot identificatie en verificatie van nieuwe klanten. De Nederlandsche Bank heeft in zijn DNB Leidraad uit 2020 voor identificatie en verificatie op afstand het verificatiefilmpje ook nadrukkelijk als voorbeeld aangedragen", aldus het Kifid.

Tevens is LeasePlan Bank van mening dat er met het verificatiefilmpje geen biometrische gegevens worden verwerkt. Het Kifid vroeg twee deskundigen om antwoord te geven op de vraag of het vragen van een verificatiefilmpje, in het licht van de AVG, gerechtvaardigd is. In hun antwoorden keken de deskundigen ook of erbij het verificatiefilmpje biometrische gegevens worden verwerkt. Het Kifid stelt op basis van de twee adviezen dat het enkele feit dat een verificatiefilmpje moet worden aangeleverd nog niet maakt dat biometrische gegevens moeten worden verstrekt.

"Er is dan ook niet komen vast te staan dat de bank met het verificatiefilmpje biometrische gegevens verwerkt", aldus het Kifid. Het klachteninstituut ging er bij het inschakelen van de deskundigen vanuit dat het verificatiefilmpje biometrische gegevens bevatte, maar dat blijkt niet zo te zijn. "Om die reden kan dan ook niet worden geconcludeerd dat de bank ongeoorloofd handelt door van de consumenten te verlangen dat zij een verificatiefilmpje verstrekken. De vordering om de bank te verbieden biometrische gegevens op te vragen voor het openen van een spaarrekening zal dan ook worden afgewezen."

Reacties (16)
23-07-2024, 14:49 door Anoniem
En uiteindelijk verkoopt deze entiteit de metadata van het filmpje via pseudoniemen...
Griezelige instantie.
Niet bij aanmelden zou ik zeggen.
23-07-2024, 14:59 door Anoniem
Conclusie: Het is geen bank waar je zaken mee wilt doen. Doei doei.
23-07-2024, 15:12 door Anoniem
Ook bij eerdere uitspraken van de Kifid al vraagtekens gehad waar het ging om de naleving van de (U)AVG. Tijd dat de Autoriteit Persoonsgegevens hier eens nadrukkelijk naar gaat kijken, al dan niet op basis van een klacht van deze klagers. De AP heeft immers eerder uitlatingen gedaan waaruit blijkt dat beelden wel degelijk biometrische gegevens bevatten. Uit de casus blijkt ook op geen enkele wijze wat er met de beelden gebeurt nadat verificatie heeft plaatsgevonden. Deze lijken dan niet meer nodig en zouden op grond van de AVG vernietigd moeten worden.
23-07-2024, 15:14 door majortom
"Er is dan ook niet komen vast te staan dat de bank met het verificatiefilmpje biometrische gegevens verwerkt", aldus het Kifid.
Wat een absurde uitspraak weer van dit "instituut". Het is nogal wiedes dat er wel biometrische gegevens worden verwerkt, ik neem niet aan dat ze elk filmpje door een medewerker handmatig laten beoordelen. Er is geen sprake van vrijelijke toestemming, dus is de werkwijze in strijd met de AVG, mbt biometrische verwerking.

Genoeg alternatieven (stuur maar iemand langs oid), maar dit vanwege de bedrijfsvoering een fysieke controle niet mogelijk is.. Ze bedoelen: dit is ons te duur.

Wederom het Kifid: van banken, voor banken.
23-07-2024, 15:18 door Anoniem
Je hoeft maar even te zoeken om te zien dat je gegevens bij verschillende bedrijven terechtkomen. Leaseplan maakt gebruik van de diensten van Onfido en deze gebruikt weer software van Microsoft. En dat terwijl je als klant geld leent aan Leaseplan. Het is de omgekeerde wereld.

https://appsource.microsoft.com/nl-nl/product/web-apps/onfido-5084500.onfidoidentifycheckingsolution?tab=Overview
23-07-2024, 16:40 door Anoniem
Door majortom:
"Er is dan ook niet komen vast te staan dat de bank met het verificatiefilmpje biometrische gegevens verwerkt", aldus het Kifid.
Wat een absurde uitspraak weer van dit "instituut". Het is nogal wiedes dat er wel biometrische gegevens worden verwerkt, ik neem niet aan dat ze elk filmpje door een medewerker handmatig laten beoordelen. Er is geen sprake van vrijelijke toestemming, dus is de werkwijze in strijd met de AVG, mbt biometrische verwerking.

Genoeg alternatieven (stuur maar iemand langs oid), maar dit vanwege de bedrijfsvoering een fysieke controle niet mogelijk is.. Ze bedoelen: dit is ons te duur.

Wederom het Kifid: van banken, voor banken.
En de media neemt het weer lekker klakkeloos over als krantenkop (incl security.nl)
LeasePlan Bank mag verificatiefilmpje eisen voor openen van rekening
Nee dat is pertinent niet waar. Het is simpel weg niet juridsch bekeken.
Betere en eerlijkere kop zo zijn.
LeasePlan Bank mag verificatiefilmpje eisen voor openen van rekening volgens KIFID

Zoals je hierboven al aangeeft moet het vrijelijk worden afgedragen (buiten overheid, opsporingdienst om die uitzondering positie hebben tot zekere mate) vanuit AVG.

Het is getoetst door een geschillen commisie opgezet door banken voor banken als een soort saaie vorm van rijdende rechter. Was dit gedaan door civiele rechter dan was het een heel andere uitkomst geweest. Want die kijkt niet naar enkel bank voorwaarden die kijkt naar wat er bij wet mag en of het in tegenstrijdigheid is met wat de bank zegt.

Maar ja dat brengt kosten mee dus weet je we gaan kuch bemiddeling route bewandelen in plaats meteen doorpakken.
Waneer leert men nu eens *niet* KIFID erbij te betrekken. Als dat gebeurt sterft die club vanzelf uit en verliezen de banken een lading aan macht over uitspraken. Kost meer tijd dan om zaken te regelen qua geschil maar garandeer je dat met gedegen advocaat je meer kans maakt dan wat je bij deze waardeloze club hebt.
23-07-2024, 17:09 door Anoniem
De service van LeasePlan Bank is rampzalig, had hier ook moeite met herverificatie. LPB reageert simpelweg niet op vragen en klachten. Ruim een jaar later werkt het opeens wel en staat je ID voor jarenlang opgeslagen in het buitenland. Op een verzoek deze te verwijderen reageert LPB ook al niet, klacht hierover hetzelfde. En de AP...
Eeuwig zonde, hun site/dienst werkt erg prettig. Maandelijks rentebetaling is ook leuk.

Heb in ieder geval elders het grootste gedeelte van het spaargeld ondergebracht. Gebruik het enkel om een paar dagen rente te trekken over het saldo. Kan mijn huidige bank daaR niets mee, dat zijn pAs echt onBeschOfte hufters.
23-07-2024, 19:31 door Erik van Straten - Bijgewerkt: 23-07-2024, 19:35
Door Anoniem: Tijd dat de Autoriteit Persoonsgegevens hier eens nadrukkelijk naar gaat kijken, al dan niet op basis van een klacht van deze klagers.
Probleem: hoe luidt de exacte en ondubbelzinnige definitie van privacy? M.a.w. gaat het hier nog wel om een privacyrisico?

Een steeds groter wordend risico bij online "authenticatie" m.b.v. bytes die worden geüpload, is impersonatie.

Oftewel, een crimineel bemachtigt (door steeds meer gelekte persoonsgegevens) en/of creëert (middels steeds slimmere AI) de noodzakelijke informatie om bij LeaseBank, op de naam van een slachtoffer, een online bankrekening te openen. Een bankrekening waar dat slachtoffer zelf niet, maar die crimineel wél, toegang tot heeft.

Die informatie kan zo'n crimineel steeds eenvoudiger verkrijgen en/of genereren - door de volgende data te verzamelen, en/of:

• Daadwerkelijk gelekte persoonsgegevens (al dan niet inclusief scans van identiteitsbewijzen);

• Door jouzelf, jouw familie, vrienden, collega's, werkgever etc. naar internet geüploade beelden en andere gegevens;

• Door de crimineel, bijv. met een smoes, op straat van jou "geschoten" beelden en/of afgetroggelde informatie;

• Door de crimineel (mogelijk na een insider tip vanuit LeaseBank) die jou, middels phishing, de voor LeaseBank benodigde gegevens laat uploaden naar zijn of haar [i[nepsite[/i] (dit soort aanvallen vinden al plaats en slagen daadwerkelijk);

• En andere mogelijke, al dan niet Attacker-in-the-Middle-achtige, trucs die ik nu (nog) niet overzie.

Mijn vraag is: is dit überhaupt een risico waar de AP iets van moet vinden?

Of moet DNB met de billen bloot en toegeven dat haar "Leidraad uit 2020 voor identificatie en verificatie op afstand" verouderd is, in elk geval met betrekking tot "het verificatiefilmpje" dat, naar verluidt, "ook nadrukkelijk als voorbeeld" door DNB in die Leidraad wordt aangedragen?

Of moet het kabinet (Minister van Justitie?) ASAP inzien dat deze vorm van authenticatie VOORAL in het belang is van cybercriminelen, belastingontduikers en van financiers van georganiseerde criminaliteit en/of terrorisme? En dus VOORAL NIET van individuele slachtoffers, en van de samenleving als geheel?

Te zot voor woorden dat een flutclub als Kifid besluiten over zaken mag nemen die voor iedereen, behalve banken, risico's opleveren, en daarmee ook nog gevaarlijke jurisprudentie kan opbouwen.

https://www.security.nl/posting/827137/Kopie-ID%3A+kap+ermee%21
23-07-2024, 22:58 door Anoniem
De autoriteit over biometrische gegevens:

Voorbeelden van biometrische persoonsgegevens zijn vingerafdrukken of gezichtsafbeeldingen. Deze lichaamskenmerken zijn uniek. Dat betekent: te herleiden naar 1 individu. Daarom kunnen organisaties biometrie gebruiken om mensen te identificeren. En ook om te controleren of iemand is wie diegene zegt te zijn.

Identificeren is gebruik maken van unieke biometrische gegevens.

https://www.autoriteitpersoonsgegevens.nl/themas/identificatie/biometrie
24-07-2024, 07:36 door Anoniem
ICS was nog door de AP beboet voor dit soort identificatie omdat ze vooraf geen risico-analyse (DPIA) hadden uitgevoerd.
https://www.security.nl/posting/825618/AP+beboet+creditcardbedrijf+ICS+voor+overtreden+AVG++bij+digitale+identificatie

Misschien heeft leaseplan deze stap ook overgeslagen, dan kan AP ook hun op de vingers tikken en kifid hun oordeel laten herzien!
24-07-2024, 08:05 door Anoniem
Door Erik van Straten:
Door Anoniem: Tijd dat de Autoriteit Persoonsgegevens hier eens nadrukkelijk naar gaat kijken, al dan niet op basis van een klacht van deze klagers.
Probleem: hoe luidt de exacte en ondubbelzinnige definitie van privacy? M.a.w. gaat het hier nog wel om een privacyrisico?

Een steeds groter wordend risico bij online "authenticatie" m.b.v. bytes die worden geüpload, is impersonatie.

Oftewel, een crimineel bemachtigt (door steeds meer gelekte persoonsgegevens) en/of creëert (middels steeds slimmere AI) de noodzakelijke informatie om bij LeaseBank, op de naam van een slachtoffer, een online bankrekening te openen. Een bankrekening waar dat slachtoffer zelf niet, maar die crimineel wél, toegang tot heeft.

Die informatie kan zo'n crimineel steeds eenvoudiger verkrijgen en/of genereren - door de volgende data te verzamelen, en/of:

• Daadwerkelijk gelekte persoonsgegevens (al dan niet inclusief scans van identiteitsbewijzen);

• Door jouzelf, jouw familie, vrienden, collega's, werkgever etc. naar internet geüploade beelden en andere gegevens;

• Door de crimineel, bijv. met een smoes, op straat van jou "geschoten" beelden en/of afgetroggelde informatie;

• Door de crimineel (mogelijk na een insider tip vanuit LeaseBank) die jou, middels phishing, de voor LeaseBank benodigde gegevens laat uploaden naar zijn of haar [i[nepsite[/i] (dit soort aanvallen vinden al plaats en slagen daadwerkelijk);

• En andere mogelijke, al dan niet Attacker-in-the-Middle-achtige, trucs die ik nu (nog) niet overzie.

Mijn vraag is: is dit überhaupt een risico waar de AP iets van moet vinden?

Of moet DNB met de billen bloot en toegeven dat haar "Leidraad uit 2020 voor identificatie en verificatie op afstand" verouderd is, in elk geval met betrekking tot "het verificatiefilmpje" dat, naar verluidt, "ook nadrukkelijk als voorbeeld" door DNB in die Leidraad wordt aangedragen?

Of moet het kabinet (Minister van Justitie?) ASAP inzien dat deze vorm van authenticatie VOORAL in het belang is van cybercriminelen, belastingontduikers en van financiers van georganiseerde criminaliteit en/of terrorisme? En dus VOORAL NIET van individuele slachtoffers, en van de samenleving als geheel?

Te zot voor woorden dat een flutclub als Kifid besluiten over zaken mag nemen die voor iedereen, behalve banken, risico's opleveren, en daarmee ook nog gevaarlijke jurisprudentie kan opbouwen.

https://www.security.nl/posting/827137/Kopie-ID%3A+kap+ermee%21

Jij baseert je vermoedens op allerlei hypotheses, zoals wel vaker. LeasePlan vereist niet alleen een verificatiefilmpje, maar ook een hele hoop andere informatie, waaronder de betaling vanaf je eigen bankrekening. Als ik van iemand een paspoort heb + een 4K filmpje dat iemand van zichzelf op YouTube heeft gezet, dan gaat het mij nog steeds niet lukken om een bankrekening te openen op naam van deze persoon. Die persoon moet immers ook nog met haar eigen bankrekening een betaling doen die op zijn naam staat. Daarbij geldt ook dat die verificatiefilmpjes vaak aan bepaalde eisen moeten voldoen, zoals het opnoemen van cijfers, of dat ze eerst naar links en dan naar rechts kijken. Dit is juist allemaal zo ingericht om de kans waar alle alu-hoedjes op deze website zo bang voor zijn, namelijk dat criminelen een rekening openen in jouw naam, zo veel mogelijk te voorkomen.

Met phishing kan uiteraard wel een hoop verkregen worden, maar dan ben je zelf ook ergens ingetrapt en niet goed aan het opletten - en dan nog wordt het lastig om alle informatie te verkrijgen. Jij bent in jouw verhaal vooral bang voor de situatie waar je opeens een bankrekening hebt zonder iets te hebben gedaan. Overigens als ik een insider heb bij een bank is het een heel ander verhaal, maar dat heeft niets te maken met de manier waarop de desbetreffende bank haar onboardingsproces heeft ingericht - dus dat argument gaat m.i. niet op.

LeasePlan is trouwens niet de enige bank die verificatiefilmpjes vereist. Daarbij geldt overigens ook dat banken een 'live stream' vereisen, dus dat je niet een vooraf geüpload filmpje kan uploaden.
24-07-2024, 08:24 door Anoniem
Tja waar maakt men zich weer druk om, 9 van 10 post lekker vrolijk op social media zijn foto's, selfies etc want ja je moet natuulijk laten zien hoe goed jou leven is en wat je doet wat een ander niet doet of kan betalen en dan hier gaan zitten zeuren over een filmpje wat je ook simpel kan maken met AI in deze tijd....kansloos geleuter, tenslotte heb je een keus, ga dan naar een andere bank! je bent niets verplicht!
24-07-2024, 10:20 door Anoniem
Door Anoniem: Tja waar maakt men zich weer druk om, 9 van 10 post lekker vrolijk op social media zijn foto's, selfies etc want ja je moet natuulijk laten zien hoe goed jou leven is en wat je doet wat een ander niet doet of kan betalen en dan hier gaan zitten zeuren over een filmpje wat je ook simpel kan maken met AI in deze tijd....kansloos geleuter, tenslotte heb je een keus, ga dan naar een andere bank! je bent niets verplicht!
Ach, ik zie het nog wat anologer.
Vroeger vergelijk men ook jouw kop of die overeen kwam met de pasfoto in jouw document.
Deze stap in moderne tijden overslaan is iets wat De Nederlandsche Bank vast niet acceptabel gaat vinden.
Lijkt mij logisch.
24-07-2024, 14:02 door Anoniem
Door Anoniem: Conclusie: Het is geen bank waar je zaken mee wilt doen. Doei doei.

Ik heb ze ook de deur gewezen. Good riddance.
24-07-2024, 15:00 door Anoniem
Door Anoniem:
Ach, ik zie het nog wat anologer.
Vroeger vergelijk men ook jouw kop of die overeen kwam met de pasfoto in jouw document.
Deze stap in moderne tijden overslaan is iets wat De Nederlandsche Bank vast niet acceptabel gaat vinden.
Lijkt mij logisch.

Dat is niet met elkaar op een lijn te stellen.
Ten eerste zie je nu niet met wie je te maken hebt als klant, je ziet geen medewerker laat staan een naambordje. En jouw gegevens komen in handen van andere bedrijven en (buitenlandse) overheden. Dat is niet zo als je ontvangen wordt in een bankkantoor en normaal oogcontact hebt.
Bovendien is die wetgeving er gekomen n.a.v. 11/9. Waardoor regeringen allerlei wetten er doordrukte waardoor dit soort dingen mogelijk zijn geworden.
25-07-2024, 09:57 door majortom - Bijgewerkt: 25-07-2024, 09:57
Additioneel. Leaseplan bank gebruikt Onfido als provider van deze verificatie. Onfido is opgericht in UK (buiten de EU) en overgenomen door Entrust, een bedrijf gevestigd in de USA. Ze doen erg vaag in hun privacy statement mbt de opslag van de gegevens, dus is het totaal onduidelijk waar deze gegevens worden opgeslagen. Daarbij aangezien het een US company betreft zijn de gegevens potentieel inzichtelijk voor de US overheid.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.