LeasePlan Bank mag verificatiefilmpje eisen voor openen van rekening
LeasePlan Bank mag van klanten die een rekening openen eisen dat ze een verificatiefilmpje van zichzelf uploaden. Een vordering van klanten waarin werd verzocht dit te verbieden is door het financiële klachteninstituut Kifid afgewezen (pdf). De bank biedt haar diensten alleen via internet aan. De klanten hadden een online spaarrekening bij LeasePlan Bank geopend. Voordat zij die spaarrekening konden gebruiken moesten ze eerst een identificatieproces doorlopen.
Het proces bestaat uit het uploaden van een verificatiefilmpje van zichzelf, het uploaden van een foto van het paspoort van de klanten en een overboeking van één euro vanaf een betaalrekening die op naam van de klanten staat. De poging van de klanten om het verificatiefilmpje te uploaden mislukte. Uiteindelijk is het identificatieproces geannuleerd en de spaarrekening gesloten.
De klanten klaagden dat de bank tijdens het aanvraagproces voor de spaarrekening verlangt dat ze een verificatiefilmpje uploaden met een opname van henzelf. De bank mag hen niet verplichten om biometrische persoonsgegevens aan te leveren, aldus de klanten. Die stellen dat deze eis voor het openen van een eenvoudige online privéspaarrekening te zwaar en niet proportioneel is.
De bank beschikt over hun paspoort, BSN, Nederlandse adres, e-mailadres en afschrift van een grootbank. Volgens de klanten zijn er ongetwijfeld andere verificatiemethoden die de bank kan gebruiken. Zo bankieren ze bij een andere bank waar ze geïdentificeerd zijn, daar kan LeasePlan Bank ook navraag doen, zo stellen ze. De klanten vorderden bij het Kifid dat het de bank verboden wordt om bij de aanvraagprocedure biometrische gegevens op te vragen. De klanten willen een spaarrekening kunnen openen zonder dat de bank biometrische gegevens van hen verlangt. Ook vorderen zij dat de bank de eventueel door hen geüploade informatie verwijdert.
LeasePlan Bank stelt in haar verweer dat het vanwege de bedrijfsvoering een fysieke controle niet mogelijk is. Daarom is er gekozen voor het opvragen van een foto van het identiteitsbewijs en een korte selfie video-opname, zodat de foto van het identiteitsbewijs kan worden vergeleken met die video-opname. "De bank kan zelf bepalen op welke wijze invulling wordt gegeven aan de verplichting tot identificatie en verificatie van nieuwe klanten. De Nederlandsche Bank heeft in zijn DNB Leidraad uit 2020 voor identificatie en verificatie op afstand het verificatiefilmpje ook nadrukkelijk als voorbeeld aangedragen", aldus het Kifid.
Tevens is LeasePlan Bank van mening dat er met het verificatiefilmpje geen biometrische gegevens worden verwerkt. Het Kifid vroeg twee deskundigen om antwoord te geven op de vraag of het vragen van een verificatiefilmpje, in het licht van de AVG, gerechtvaardigd is. In hun antwoorden keken de deskundigen ook of erbij het verificatiefilmpje biometrische gegevens worden verwerkt. Het Kifid stelt op basis van de twee adviezen dat het enkele feit dat een verificatiefilmpje moet worden aangeleverd nog niet maakt dat biometrische gegevens moeten worden verstrekt.
"Er is dan ook niet komen vast te staan dat de bank met het verificatiefilmpje biometrische gegevens verwerkt", aldus het Kifid. Het klachteninstituut ging er bij het inschakelen van de deskundigen vanuit dat het verificatiefilmpje biometrische gegevens bevatte, maar dat blijkt niet zo te zijn. "Om die reden kan dan ook niet worden geconcludeerd dat de bank ongeoorloofd handelt door van de consumenten te verlangen dat zij een verificatiefilmpje verstrekken. De vordering om de bank te verbieden biometrische gegevens op te vragen voor het openen van een spaarrekening zal dan ook worden afgewezen."
Griezelige instantie.
Niet bij aanmelden zou ik zeggen.
Genoeg alternatieven (stuur maar iemand langs oid), maar dit vanwege de bedrijfsvoering een fysieke controle niet mogelijk is.. Ze bedoelen: dit is ons te duur.
Wederom het Kifid: van banken, voor banken.
https://appsource.microsoft.com/nl-nl/product/web-apps/onfido-5084500.onfidoidentifycheckingsolution?tab=Overview
Genoeg alternatieven (stuur maar iemand langs oid), maar dit vanwege de bedrijfsvoering een fysieke controle niet mogelijk is.. Ze bedoelen: dit is ons te duur.
Wederom het Kifid: van banken, voor banken.
Betere en eerlijkere kop zo zijn.
Zoals je hierboven al aangeeft moet het vrijelijk worden afgedragen (buiten overheid, opsporingdienst om die uitzondering positie hebben tot zekere mate) vanuit AVG.
Het is getoetst door een geschillen commisie opgezet door banken voor banken als een soort saaie vorm van rijdende rechter. Was dit gedaan door civiele rechter dan was het een heel andere uitkomst geweest. Want die kijkt niet naar enkel bank voorwaarden die kijkt naar wat er bij wet mag en of het in tegenstrijdigheid is met wat de bank zegt.
Maar ja dat brengt kosten mee dus weet je we gaan kuch bemiddeling route bewandelen in plaats meteen doorpakken.
Waneer leert men nu eens *niet* KIFID erbij te betrekken. Als dat gebeurt sterft die club vanzelf uit en verliezen de banken een lading aan macht over uitspraken. Kost meer tijd dan om zaken te regelen qua geschil maar garandeer je dat met gedegen advocaat je meer kans maakt dan wat je bij deze waardeloze club hebt.
Eeuwig zonde, hun site/dienst werkt erg prettig. Maandelijks rentebetaling is ook leuk.
Heb in ieder geval elders het grootste gedeelte van het spaargeld ondergebracht. Gebruik het enkel om een paar dagen rente te trekken over het saldo. Kan mijn huidige bank daaR niets mee, dat zijn pAs echt onBeschOfte hufters.
Een steeds groter wordend risico bij online "authenticatie" m.b.v. bytes die worden geüpload, is impersonatie.
Oftewel, een crimineel bemachtigt (door steeds meer gelekte persoonsgegevens) en/of creëert (middels steeds slimmere AI) de noodzakelijke informatie om bij LeaseBank, op de naam van een slachtoffer, een online bankrekening te openen. Een bankrekening waar dat slachtoffer zelf niet, maar die crimineel wél, toegang tot heeft.
Die informatie kan zo'n crimineel steeds eenvoudiger verkrijgen en/of genereren - door de volgende data te verzamelen, en/of:
• Daadwerkelijk gelekte persoonsgegevens (al dan niet inclusief scans van identiteitsbewijzen);
• Door jouzelf, jouw familie, vrienden, collega's, werkgever etc. naar internet geüploade beelden en andere gegevens;
• Door de crimineel, bijv. met een smoes, op straat van jou "geschoten" beelden en/of afgetroggelde informatie;
• Door de crimineel (mogelijk na een insider tip vanuit LeaseBank) die jou, middels phishing, de voor LeaseBank benodigde gegevens laat uploaden naar zijn of haar [i[nepsite[/i] (dit soort aanvallen vinden al plaats en slagen daadwerkelijk);
• En andere mogelijke, al dan niet Attacker-in-the-Middle-achtige, trucs die ik nu (nog) niet overzie.
Mijn vraag is: is dit überhaupt een risico waar de AP iets van moet vinden?
Of moet DNB met de billen bloot en toegeven dat haar "Leidraad uit 2020 voor identificatie en verificatie op afstand" verouderd is, in elk geval met betrekking tot "het verificatiefilmpje" dat, naar verluidt, "ook nadrukkelijk als voorbeeld" door DNB in die Leidraad wordt aangedragen?
Of moet het kabinet (Minister van Justitie?) ASAP inzien dat deze vorm van authenticatie VOORAL in het belang is van cybercriminelen, belastingontduikers en van financiers van georganiseerde criminaliteit en/of terrorisme? En dus VOORAL NIET van individuele slachtoffers, en van de samenleving als geheel?
Te zot voor woorden dat een flutclub als Kifid besluiten over zaken mag nemen die voor iedereen, behalve banken, risico's opleveren, en daarmee ook nog gevaarlijke jurisprudentie kan opbouwen.
https://www.security.nl/posting/827137/Kopie-ID%3A+kap+ermee%21
Voorbeelden van biometrische persoonsgegevens zijn vingerafdrukken of gezichtsafbeeldingen. Deze lichaamskenmerken zijn uniek. Dat betekent: te herleiden naar 1 individu. Daarom kunnen organisaties biometrie gebruiken om mensen te identificeren. En ook om te controleren of iemand is wie diegene zegt te zijn.
Identificeren is gebruik maken van unieke biometrische gegevens.
https://www.autoriteitpersoonsgegevens.nl/themas/identificatie/biometrie
https://www.security.nl/posting/825618/AP+beboet+creditcardbedrijf+ICS+voor+overtreden+AVG++bij+digitale+identificatie
Misschien heeft leaseplan deze stap ook overgeslagen, dan kan AP ook hun op de vingers tikken en kifid hun oordeel laten herzien!
Een steeds groter wordend risico bij online "authenticatie" m.b.v. bytes die worden geüpload, is impersonatie.
Oftewel, een crimineel bemachtigt (door steeds meer gelekte persoonsgegevens) en/of creëert (middels steeds slimmere AI) de noodzakelijke informatie om bij LeaseBank, op de naam van een slachtoffer, een online bankrekening te openen. Een bankrekening waar dat slachtoffer zelf niet, maar die crimineel wél, toegang tot heeft.
Die informatie kan zo'n crimineel steeds eenvoudiger verkrijgen en/of genereren - door de volgende data te verzamelen, en/of:
• Daadwerkelijk gelekte persoonsgegevens (al dan niet inclusief scans van identiteitsbewijzen);
• Door jouzelf, jouw familie, vrienden, collega's, werkgever etc. naar internet geüploade beelden en andere gegevens;
• Door de crimineel, bijv. met een smoes, op straat van jou "geschoten" beelden en/of afgetroggelde informatie;
• Door de crimineel (mogelijk na een insider tip vanuit LeaseBank) die jou, middels phishing, de voor LeaseBank benodigde gegevens laat uploaden naar zijn of haar [i[nepsite[/i] (dit soort aanvallen vinden al plaats en slagen daadwerkelijk);
• En andere mogelijke, al dan niet Attacker-in-the-Middle-achtige, trucs die ik nu (nog) niet overzie.
Mijn vraag is: is dit überhaupt een risico waar de AP iets van moet vinden?
Of moet DNB met de billen bloot en toegeven dat haar "Leidraad uit 2020 voor identificatie en verificatie op afstand" verouderd is, in elk geval met betrekking tot "het verificatiefilmpje" dat, naar verluidt, "ook nadrukkelijk als voorbeeld" door DNB in die Leidraad wordt aangedragen?
Of moet het kabinet (Minister van Justitie?) ASAP inzien dat deze vorm van authenticatie VOORAL in het belang is van cybercriminelen, belastingontduikers en van financiers van georganiseerde criminaliteit en/of terrorisme? En dus VOORAL NIET van individuele slachtoffers, en van de samenleving als geheel?
Te zot voor woorden dat een flutclub als Kifid besluiten over zaken mag nemen die voor iedereen, behalve banken, risico's opleveren, en daarmee ook nog gevaarlijke jurisprudentie kan opbouwen.
https://www.security.nl/posting/827137/Kopie-ID%3A+kap+ermee%21
Jij baseert je vermoedens op allerlei hypotheses, zoals wel vaker. LeasePlan vereist niet alleen een verificatiefilmpje, maar ook een hele hoop andere informatie, waaronder de betaling vanaf je eigen bankrekening. Als ik van iemand een paspoort heb + een 4K filmpje dat iemand van zichzelf op YouTube heeft gezet, dan gaat het mij nog steeds niet lukken om een bankrekening te openen op naam van deze persoon. Die persoon moet immers ook nog met haar eigen bankrekening een betaling doen die op zijn naam staat. Daarbij geldt ook dat die verificatiefilmpjes vaak aan bepaalde eisen moeten voldoen, zoals het opnoemen van cijfers, of dat ze eerst naar links en dan naar rechts kijken. Dit is juist allemaal zo ingericht om de kans waar alle alu-hoedjes op deze website zo bang voor zijn, namelijk dat criminelen een rekening openen in jouw naam, zo veel mogelijk te voorkomen.
Met phishing kan uiteraard wel een hoop verkregen worden, maar dan ben je zelf ook ergens ingetrapt en niet goed aan het opletten - en dan nog wordt het lastig om alle informatie te verkrijgen. Jij bent in jouw verhaal vooral bang voor de situatie waar je opeens een bankrekening hebt zonder iets te hebben gedaan. Overigens als ik een insider heb bij een bank is het een heel ander verhaal, maar dat heeft niets te maken met de manier waarop de desbetreffende bank haar onboardingsproces heeft ingericht - dus dat argument gaat m.i. niet op.
LeasePlan is trouwens niet de enige bank die verificatiefilmpjes vereist. Daarbij geldt overigens ook dat banken een 'live stream' vereisen, dus dat je niet een vooraf geüpload filmpje kan uploaden.
Vroeger vergelijk men ook jouw kop of die overeen kwam met de pasfoto in jouw document.
Deze stap in moderne tijden overslaan is iets wat De Nederlandsche Bank vast niet acceptabel gaat vinden.
Lijkt mij logisch.
Ik heb ze ook de deur gewezen. Good riddance.
Ach, ik zie het nog wat anologer.
Vroeger vergelijk men ook jouw kop of die overeen kwam met de pasfoto in jouw document.
Deze stap in moderne tijden overslaan is iets wat De Nederlandsche Bank vast niet acceptabel gaat vinden.
Lijkt mij logisch.
Dat is niet met elkaar op een lijn te stellen.
Ten eerste zie je nu niet met wie je te maken hebt als klant, je ziet geen medewerker laat staan een naambordje. En jouw gegevens komen in handen van andere bedrijven en (buitenlandse) overheden. Dat is niet zo als je ontvangen wordt in een bankkantoor en normaal oogcontact hebt.
Bovendien is die wetgeving er gekomen n.a.v. 11/9. Waardoor regeringen allerlei wetten er doordrukte waardoor dit soort dingen mogelijk zijn geworden.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
