ICS mag onder Wwft geen burgerservicenummer van klanten verwerken
Creditcardmaatschappij mag onder de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) geen burgerservicenummer (BSN) verwerken. Dat mag echter wel op grond van de Algemene wet inzake rijksbelastingen (AWR), zo oordeelt het financiële klachteninstituut Kifid in een zaak die een klant had aangespannen.
ICS had de klant in kader van de Wwft gevraagd om mee te werken aan zijn heridentificatie. De klant maakte bezwaar tegen de verwerking van zijn BSN omdat de Wwft daar geen grondslag voor biedt, zo stelde hij. Begin 2021 deed ICS het verzoek aan de klant. Op 5 april 2022 werd diens creditcard geblokkeerd, omdat er geen heridentificatie had plaatsgevonden.
Volgens het Kifid biedt de Wwft geen grondslag voor de verwerking van het BSN. Iets dat ICS ook heeft erkend. Toch mocht de creditcardmaatschappij het burgerservicenummer van de klant verwerken. ICS is op grond van de AWR verplicht bij het verstrekken van gegevens en inlichtingen aan de Belastingdienst ook het BSN te vermelden, legt het klachteninstituut uit. Daarnaast is ICS op grond van de Wet op het financieel toezicht in verband met het depositogarantiestelsel verplicht om het BSN van een depositohouder in haar administratie op te nemen.
"Naar het oordeel van de commissie is het ICS toegestaan om op grond van deze wettelijke verplichtingen het BSN van de consument dat is verkregen in het kader van het cliëntenonderzoek onder de Wwft vast te leggen en te bewaren. Voorwaarde is dan wel dat ICS het BSN alleen verwerkt om aan die wettelijke verplichtingen te kunnen voldoen", oordeelt het Kifid.
Het klachteninstituut besluit de vordering van de klant tot een verklaring voor recht dat de Wwft geen grondslag biedt voor het verwerken van het BSN toe te wijzen. De vordering tot een verklaring voor recht dat de vastlegging van het BSN ongeoorloofd is wordt afgewezen. Omdat de klant gedeeltelijk in het gelijk is gesteld moet ICS diens kosten van 268 euro voor het bijwonen van de hoorzitting vergoeden (pdf).
Reacties (22)
Gisteren, 13:54 door
Bitje-scheef
Ja bijzonder wel, voor het ene gedeelte is men verplicht voor het andere gedeelte mag het niet. Kan me voorstellen dat het voor beide partijen een vreemd geheel is.
Gisteren, 13:57 door
Anoniem
"heridentificatie"
Ik dacht dat dit alleen door phishing werd gedaan, maar er zijn dus blijkbaar serieus partijen die dit doen.
Ik dacht dat dit alleen door phishing werd gedaan, maar er zijn dus blijkbaar serieus partijen die dit doen.
Gisteren, 13:57 door
Anoniem
De vordering is gedeeltelijk toegewezen, maar toch is ICS de grote winnaar. Deze uitspraak maakt duidelijk dat zelf als je klaagt over een terecht punt, dat je nog jarenlang moet strijden om dat gelijk te halen. En de enige kosten die je dan vergoed krijgt zijn een treinkaartje en het onbetaalde verlof om aanwezig te zijn bij de hoorzitting.
Het bevestigt weer het beeld dat het Kifid louter en alleen bestaat voor het afhouden van klachten over de financiële sector.
Het bevestigt weer het beeld dat het Kifid louter en alleen bestaat voor het afhouden van klachten over de financiële sector.
Gisteren, 14:22 door
Anoniem
Door Anoniem: De vordering is gedeeltelijk toegewezen, maar toch is ICS de grote winnaar. Deze uitspraak maakt duidelijk dat zelf als je klaagt over een terecht punt, dat je nog jarenlang moet strijden om dat gelijk te halen. En de enige kosten die je dan vergoed krijgt zijn een treinkaartje en het onbetaalde verlof om aanwezig te zijn bij de hoorzitting.
Het bevestigt weer het beeld dat het Kifid louter en alleen bestaat voor het afhouden van klachten over de financiële sector.
Het bevestigt weer het beeld dat het Kifid louter en alleen bestaat voor het afhouden van klachten over de financiële sector.
Je zou ook kunnen zeggen dat wetten en regelgeving te weinig bescherming aan nederlanders bieden.
Het Kifid toets hier aan.
Gisteren, 14:40 door
Anoniem
Het probleem lijkt in dit geval niet het Kifid te zijn, maar de wetgeving zelf, in casu de AWR. Met de in de AWR opgenomen verplichting voor creditcardmaatschappijen om de BSN-nummers van klanten aan de Belastingdienst door te geven, is de privacy-bescherming van die klanten uitgeschakeld.
Die plicht in de AWR is nergens voor nodig. Het gaat immers om de belasting die de creditcardmaatschappij moet betalen. Daarvoor zijn de inkomsten van de creditcardmaatschappij van belang, maar niet de identiteit van elk van de honderdduizenden klanten.
Maar ja, als het parlement een dergelijke surveillance van klanten via de creditcardmaatschappij kennelijk "nodig" vindt om het parlement moverende redenen, en het daarom in een wet heeft opgenomen, dan gaan onze gehoorzame rechters die wet echt niet toetsen aan internationale verdragen die dat verbieden. Ook al zou dat wel moeten. Gehoorzaamheid aan wat de baas wil, vinden rechters belangrijker dan de wet.
Dan is er nog de Wft, waarin het depositogarantiestelsel het opnemen van het BSN-nummer in de administratie van de creditcardmaatschappij verplicht. Maar een klant die een creditcard heeft, is daarmee nog geen depositohouder. Dat hangt af van nadere afspraken. Immers, in beginsel kan de klant, als ICS daartoe bereid is, ook een creditcard aanschaffen waarmee de klant alleen geld "leent" om dat vervolgens met rente aan de creditcardmaatschappij terug te betalen.
Dat zal ICS wel niet willen, want ICS wil die data. Dus zal er wel koppelverkoop zijn van creditcard plus depositorekening.
Wie weet is het begrip "deposito" inmiddels ook al opgerekt om ook "negatieve deposito's" (m.a.w. leningen) te omvatten. Linksom of rechtsom wil onze overheid (inclusief zogenaamd "particuliere" banken en creditcardmaatschappijen) iedereen op duizend manieren onder surveillance stellen.
Die plicht in de AWR is nergens voor nodig. Het gaat immers om de belasting die de creditcardmaatschappij moet betalen. Daarvoor zijn de inkomsten van de creditcardmaatschappij van belang, maar niet de identiteit van elk van de honderdduizenden klanten.
Maar ja, als het parlement een dergelijke surveillance van klanten via de creditcardmaatschappij kennelijk "nodig" vindt om het parlement moverende redenen, en het daarom in een wet heeft opgenomen, dan gaan onze gehoorzame rechters die wet echt niet toetsen aan internationale verdragen die dat verbieden. Ook al zou dat wel moeten. Gehoorzaamheid aan wat de baas wil, vinden rechters belangrijker dan de wet.
Dan is er nog de Wft, waarin het depositogarantiestelsel het opnemen van het BSN-nummer in de administratie van de creditcardmaatschappij verplicht. Maar een klant die een creditcard heeft, is daarmee nog geen depositohouder. Dat hangt af van nadere afspraken. Immers, in beginsel kan de klant, als ICS daartoe bereid is, ook een creditcard aanschaffen waarmee de klant alleen geld "leent" om dat vervolgens met rente aan de creditcardmaatschappij terug te betalen.
Dat zal ICS wel niet willen, want ICS wil die data. Dus zal er wel koppelverkoop zijn van creditcard plus depositorekening.
Wie weet is het begrip "deposito" inmiddels ook al opgerekt om ook "negatieve deposito's" (m.a.w. leningen) te omvatten. Linksom of rechtsom wil onze overheid (inclusief zogenaamd "particuliere" banken en creditcardmaatschappijen) iedereen op duizend manieren onder surveillance stellen.
Gisteren, 14:42 door
Anoniem
Door Anoniem: "heridentificatie"
Ik dacht dat dit alleen door phishing werd gedaan, maar er zijn dus blijkbaar serieus partijen die dit doen.
Ik dacht dat dit alleen door phishing werd gedaan, maar er zijn dus blijkbaar serieus partijen die dit doen.
Daar worden ze toe verplicht vanuit de WWFT, met name bij klanten die al lang geleden hun rekening/product hebben afgesloten.
Gisteren, 14:59 door
karma4
Een heel verwonderlijke verplicht het BSN op te nemen volgens de wet en wwft en vervolgens verklaren dat het verwerken van een BSN niet zou mogen. De redenering kan geen stand houden in tegenspraak met zichzelf en uit dien hoofde een overtreding van de wet.
Gisteren, 15:03 door
Anoniem
Door Anoniem: De vordering is gedeeltelijk toegewezen, maar toch is ICS de grote winnaar. Deze uitspraak maakt duidelijk dat zelf als je klaagt over een terecht punt, dat je nog jarenlang moet strijden om dat gelijk te halen. En de enige kosten die je dan vergoed krijgt zijn een treinkaartje en het onbetaalde verlof om aanwezig te zijn bij de hoorzitting.
Het bevestigt weer het beeld dat het Kifid louter en alleen bestaat voor het afhouden van klachten over de financiële sector.
Het bevestigt weer het beeld dat het Kifid louter en alleen bestaat voor het afhouden van klachten over de financiële sector.
Wie betaald, bepaald of in christelijke termen (wiens brood men eet, wiens woord men spreekt). Kifid wordt betaald door de financiële instellingen waarbij Kifid dus zijn geldschieters moet veroordelen. Gaat dat oprecht werken? Neuh. Wint er ooit een consument? Af en toe op minimale zaken.
Gisteren, 15:06 door
Anoniem
Door Bitje-scheef: Ja bijzonder wel, voor het ene gedeelte is men verplicht voor het andere gedeelte mag het niet. Kan me voorstellen dat het voor beide partijen een vreemd geheel is.
Per verwerking van persoonsgegevens moet worden vastgesteld of er een grondslag is om die verwerking te mogen doen. Voor de verwerking van “identificatie nieuwe klant” is gebruik van bsn verplicht, voor de verwerking “fraude onderzoek” dus niet.
Gisteren, 15:10 door
Anoniem
Door Bitje-scheef: Ja bijzonder wel, voor het ene gedeelte is men verplicht voor het andere gedeelte mag het niet. Kan me voorstellen dat het voor beide partijen een vreemd geheel is.
Nee, het is hier niet zo dat de ene wet iets verbiedt dat de andere verplicht, de Wwft noemt het BSN niet eens. De Wwft zelf levert geen grondslag voor die verwerking op, maar dat is geen verbod, en er is hier een andere grondslag.ICS heeft de klant geantwoord dat het het BSN mag verwerken op grond van de voor hun verplichte doorgifte gegevens aan de Belastingdienst (vermogen, leningen en rente en aan De Nederlandsche Bank (voor het depositogarantiestelsel). Kennelijk hebben ze daarna nog een eind doorgediscussieerd en heeft de klant de grondslag niet geaccepteerd.
Persoonlijk vind ik het nogal wiedes dat als de Wwft eist dat ze iemands identiteit controleren en bij het vastleggen van die identiteit het BSN verplicht wordt gebruikt, dat het BSN dan onderdeel uitmaakt van die identiteitscontrole, want een identiteitscontrole is een controle of de identificerende gegevens kloppen en daar maakt bij hun het BSN deel van uit.
Ik vind wel dat ICS dat in de brief aan de klanten direct correct had moeten weergeven, en hoop dat ze hiervan leren dat die brief beter geformuleerd moet worden.
Gisteren, 16:07 door
Anoniem
Kifid heeft niet ver genoeg gekeken want ICS heeft een banklicentie, en onder die banklicentie is ICS verplicht om BSN te verwerken.
Je zou ook kunnen zeggen dat wetten en regelgeving te weinig bescherming aan nederlanders bieden.
Het Kifid toets hier aan.
Dat is inderdaad nu het punt. Hoeveel wetten zijn niet gemaakt die niet in het voordeel van de burger uitpakken? Je kunt er legio van noemen. En ook wat de jurisprudentie betreft trekt de burger (weer) aan het kortste eind.Het Kifid toets hier aan.
Maar het kan nog gekker, hoewel geen kifid-verhaal.
In mijn huis zit asbest, en bij de regionale afdeling van de belastingen (zodat je rioolrechten moet betalen bijvoorbeeld) kon je aangeven dat je marktwaardeprijs van je huis kan dalen, juist omdat er asbest in zit. Het bewijs stuurde ik mee naar de belastingdienst, maar die wilde geen krimp geven. Die vond dat ik maar een proces moest beginnen en dat terwijl er al processen over gevoerd zijn en de uitspraak van de rechter toch duidelijk is: in zo'n geval moet de marktwaardeprijs van een huis dalen en dus worden de belastingen daarop (naar beneden worden) aangepast.
Maar nee hoor, de burger (die geen advocaat kan betalen) staat dan vervolgens met lege handen in een land dat zich rechtstaat placht te noemen. De belastingdienst liet mij fijntjes weten dat een verlaging van de belasting er niet in zat en dat ik "het volle pond" moest betalen.
Hoe de Nederlandse rechtstaat in een onrechtstaat is veranderd!
Gisteren, 16:18 door
Anoniem
Door Anoniem: Kifid heeft niet ver genoeg gekeken want ICS heeft een banklicentie, en onder die banklicentie is ICS verplicht om BSN te verwerken.
Een banklicentie is op zichzelf geen wettelijke grondslag, maar een vergunning. Voor het verwerken van gegevens is een wettelijke grondslag nodig. Die grondslag is in dit geval de verplichting die in de AWR is opgenomen.
Gisteren, 16:24 door
Anoniem
Door Bitje-scheef: Ja bijzonder wel, voor het ene gedeelte is men verplicht voor het andere gedeelte mag het niet. Kan me voorstellen dat het voor beide partijen een vreemd geheel is.
Is het concept "verwerkingsgrondslagen" meer dan 8 jaar na invoeren AVG nog "een vreemd geheel"?Door Anoniem:
Door Anoniem: Kifid heeft niet ver genoeg gekeken want ICS heeft een banklicentie, en onder die banklicentie is ICS verplicht om BSN te verwerken.
Een banklicentie is op zichzelf geen wettelijke grondslag, maar een vergunning. Voor het verwerken van gegevens is een wettelijke grondslag nodig. Die grondslag is in dit geval de verplichting die in de AWR is opgenomen.Met een bankvergunning zijn er ook verplichtingen, die zijn:
- vaststellen van de juiste persoon waarbij het bsn een sleutelrol heeft, wettelijk verplicht.
- bijhouden of er bijzondere zaken spelen welke het daglicht niet verdragen. Gaat samen met BSN met verplicht doorgeven.
Dat zijn europese richtlijnen waar een staat niet zomaar van kan afwijken.
Artikel 3 lid 2 https://wetten.overheid.nl/BWBR0024282/2022-11-01 het kunnen identificeren is herleidbaar tot een bsn. Artikel 33 is daarbij nog strikter.
Een naam is geen identificatie want niet uniek.
Gisteren, 20:49 door
Anoniem
Tenzij ICS inmiddels alle andere klanten geïnformeerd heeft dat ze op onjuiste grondslag het bsn verwerkt hebben lijkt het me dat de toezichthouders hier horen in te grijpen. Want kennelijk hanteerde ICS alleen een andere grondslag voor deze klagende klant. De andere klanten niet informeren dat de gegeven grondslag onjuist is en men een andere wil gebruiken is een overtreding per geval. ICS heeft naar eigen zeggen ongeveer 3 miljoen klanten.
Vandaag, 07:34 door
Anoniem
Er is een hele goede rede dat i geen creditkaart hebt bij ICS, vanwege dezelfde rede als hier beschreven. heb alleen zelf eieren voor mijn geld gekozen. Heb nu een creditkaart zonder last te hebben van ICS. Identificatie en wwft check moesten daarvoor ook worden gedaan, maar zonder BSN nummer en volledig geïnformeerd.
ICS is een bedrijf waar ik zo ver mogelijk van weg wil blijven.
ICS is een bedrijf waar ik zo ver mogelijk van weg wil blijven.
Vandaag, 08:38 door
Bitje-scheef
Door Anoniem:
Door Bitje-scheef: Ja bijzonder wel, voor het ene gedeelte is men verplicht voor het andere gedeelte mag het niet. Kan me voorstellen dat het voor beide partijen een vreemd geheel is.
Is het concept "verwerkingsgrondslagen" meer dan 8 jaar na invoeren AVG nog "een vreemd geheel"?Eigenlijk meer in de zin, op ene moment moeten ze iets doen en de informatie ook bijhouden op het andere moment, mogen ze dit niet meer maar die informatie zit wel in het systeem. Daar dit ondoorzichtig is kan ik me geheel voorstellen dat dit verwarring geeft. En als iets onlogisch is, want niet iedereen is een jurist... tja.
Vandaag, 08:51 door
Anoniem
Door Anoniem: Het probleem lijkt in dit geval niet het Kifid te zijn, maar de wetgeving zelf, in casu de AWR. Met de in de AWR opgenomen verplichting voor creditcardmaatschappijen om de BSN-nummers van klanten aan de Belastingdienst door te geven, is de privacy-bescherming van die klanten uitgeschakeld.
Die plicht in de AWR is nergens voor nodig. Het gaat immers om de belasting die de creditcardmaatschappij moet betalen. Daarvoor zijn de inkomsten van de creditcardmaatschappij van belang, maar niet de identiteit van elk van de honderdduizenden klanten.
Nee, het gaat daarbij niet om de vermogenspositie van de financiële instelling maar om de vermogensposities van de klanten. Die moeten controleerbaar zijn voor de Belastingdienst en daartoe moet een financiële instelling vermogensgegevens van klanten, inclusief hun BSN, aan de Belastingdienst doorgeven.Die plicht in de AWR is nergens voor nodig. Het gaat immers om de belasting die de creditcardmaatschappij moet betalen. Daarvoor zijn de inkomsten van de creditcardmaatschappij van belang, maar niet de identiteit van elk van de honderdduizenden klanten.
Het saldo van een klant wordt geen onderdeel van het eigen vermogen van de financiële instelling, dat blijft van de klant zelf.
Vandaag, 09:10 door
Anoniem
Het begon ooit als Sofinummer. Het lijkt mij onwenselijk dat commerciële bedrijven dit gebruiken en dat die gegevens ook in handen komen van buitenlandse overheden.
Overigens was het beter geweest om deze zaak aan de rechter voor te leggen, het Kifid beslist vaak in het voordeel van de banken/ financiële instellingen. En bij de rechter kan je in hoger beroep.
Overigens was het beter geweest om deze zaak aan de rechter voor te leggen, het Kifid beslist vaak in het voordeel van de banken/ financiële instellingen. En bij de rechter kan je in hoger beroep.
Vandaag, 09:47 door
Anoniem
Het lijkt mij toch vrij simpel: Het BSN wordt opgeslagen bij de identificatiegegevens, maar mag verder niet gebruikt worden voor interne doeleinden. Dat betekent dat voor intern gebruik een een intern persoonsnummer gebruikt moet worden, dat niet rechtstreeks herleidbaar is naar het BSN.
Vandaag, 09:50 door
Anoniem
Door Anoniem: Het begon ooit als Sofinummer. Het lijkt mij onwenselijk dat commerciële bedrijven dit gebruiken en dat die gegevens ook in handen komen van buitenlandse overheden.
Overigens was het beter geweest om deze zaak aan de rechter voor te leggen, het Kifid beslist vaak in het voordeel van de banken/ financiële instellingen. En bij de rechter kan je in hoger beroep.
Overigens was het beter geweest om deze zaak aan de rechter voor te leggen, het Kifid beslist vaak in het voordeel van de banken/ financiële instellingen. En bij de rechter kan je in hoger beroep.
Het is wettelijk geregeld dat een bank (ICS.heeft een bank licentie) deze gegevens moet hebben, daar zal een rechter niets aan veranderen. Zie vorige reacties.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.