image

ICS mag onder Wwft geen burgerservicenummer van klanten verwerken

maandag 19 augustus 2024, 13:42 door Redactie, 25 reacties

Creditcardmaatschappij mag onder de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) geen burgerservicenummer (BSN) verwerken. Dat mag echter wel op grond van de Algemene wet inzake rijksbelastingen (AWR), zo oordeelt het financiële klachteninstituut Kifid in een zaak die een klant had aangespannen.

ICS had de klant in kader van de Wwft gevraagd om mee te werken aan zijn heridentificatie. De klant maakte bezwaar tegen de verwerking van zijn BSN omdat de Wwft daar geen grondslag voor biedt, zo stelde hij. Begin 2021 deed ICS het verzoek aan de klant. Op 5 april 2022 werd diens creditcard geblokkeerd, omdat er geen heridentificatie had plaatsgevonden.

Volgens het Kifid biedt de Wwft geen grondslag voor de verwerking van het BSN. Iets dat ICS ook heeft erkend. Toch mocht de creditcardmaatschappij het burgerservicenummer van de klant verwerken. ICS is op grond van de AWR verplicht bij het verstrekken van gegevens en inlichtingen aan de Belastingdienst ook het BSN te vermelden, legt het klachteninstituut uit. Daarnaast is ICS op grond van de Wet op het financieel toezicht in verband met het depositogarantiestelsel verplicht om het BSN van een depositohouder in haar administratie op te nemen.

"Naar het oordeel van de commissie is het ICS toegestaan om op grond van deze wettelijke verplichtingen het BSN van de consument dat is verkregen in het kader van het cliëntenonderzoek onder de Wwft vast te leggen en te bewaren. Voorwaarde is dan wel dat ICS het BSN alleen verwerkt om aan die wettelijke verplichtingen te kunnen voldoen", oordeelt het Kifid.

Het klachteninstituut besluit de vordering van de klant tot een verklaring voor recht dat de Wwft geen grondslag biedt voor het verwerken van het BSN toe te wijzen. De vordering tot een verklaring voor recht dat de vastlegging van het BSN ongeoorloofd is wordt afgewezen. Omdat de klant gedeeltelijk in het gelijk is gesteld moet ICS diens kosten van 268 euro voor het bijwonen van de hoorzitting vergoeden (pdf).

Reacties (25)
19-08-2024, 13:54 door Bitje-scheef
Ja bijzonder wel, voor het ene gedeelte is men verplicht voor het andere gedeelte mag het niet. Kan me voorstellen dat het voor beide partijen een vreemd geheel is.
19-08-2024, 13:57 door Anoniem
"heridentificatie"

Ik dacht dat dit alleen door phishing werd gedaan, maar er zijn dus blijkbaar serieus partijen die dit doen.
19-08-2024, 13:57 door Anoniem
De vordering is gedeeltelijk toegewezen, maar toch is ICS de grote winnaar. Deze uitspraak maakt duidelijk dat zelf als je klaagt over een terecht punt, dat je nog jarenlang moet strijden om dat gelijk te halen. En de enige kosten die je dan vergoed krijgt zijn een treinkaartje en het onbetaalde verlof om aanwezig te zijn bij de hoorzitting.

Het bevestigt weer het beeld dat het Kifid louter en alleen bestaat voor het afhouden van klachten over de financiële sector.
19-08-2024, 14:22 door Anoniem
Door Anoniem: De vordering is gedeeltelijk toegewezen, maar toch is ICS de grote winnaar. Deze uitspraak maakt duidelijk dat zelf als je klaagt over een terecht punt, dat je nog jarenlang moet strijden om dat gelijk te halen. En de enige kosten die je dan vergoed krijgt zijn een treinkaartje en het onbetaalde verlof om aanwezig te zijn bij de hoorzitting.

Het bevestigt weer het beeld dat het Kifid louter en alleen bestaat voor het afhouden van klachten over de financiële sector.

Je zou ook kunnen zeggen dat wetten en regelgeving te weinig bescherming aan nederlanders bieden.
Het Kifid toets hier aan.
19-08-2024, 14:40 door Anoniem
Het probleem lijkt in dit geval niet het Kifid te zijn, maar de wetgeving zelf, in casu de AWR. Met de in de AWR opgenomen verplichting voor creditcardmaatschappijen om de BSN-nummers van klanten aan de Belastingdienst door te geven, is de privacy-bescherming van die klanten uitgeschakeld.

Die plicht in de AWR is nergens voor nodig. Het gaat immers om de belasting die de creditcardmaatschappij moet betalen. Daarvoor zijn de inkomsten van de creditcardmaatschappij van belang, maar niet de identiteit van elk van de honderdduizenden klanten.

Maar ja, als het parlement een dergelijke surveillance van klanten via de creditcardmaatschappij kennelijk "nodig" vindt om het parlement moverende redenen, en het daarom in een wet heeft opgenomen, dan gaan onze gehoorzame rechters die wet echt niet toetsen aan internationale verdragen die dat verbieden. Ook al zou dat wel moeten. Gehoorzaamheid aan wat de baas wil, vinden rechters belangrijker dan de wet.

Dan is er nog de Wft, waarin het depositogarantiestelsel het opnemen van het BSN-nummer in de administratie van de creditcardmaatschappij verplicht. Maar een klant die een creditcard heeft, is daarmee nog geen depositohouder. Dat hangt af van nadere afspraken. Immers, in beginsel kan de klant, als ICS daartoe bereid is, ook een creditcard aanschaffen waarmee de klant alleen geld "leent" om dat vervolgens met rente aan de creditcardmaatschappij terug te betalen.

Dat zal ICS wel niet willen, want ICS wil die data. Dus zal er wel koppelverkoop zijn van creditcard plus depositorekening.

Wie weet is het begrip "deposito" inmiddels ook al opgerekt om ook "negatieve deposito's" (m.a.w. leningen) te omvatten. Linksom of rechtsom wil onze overheid (inclusief zogenaamd "particuliere" banken en creditcardmaatschappijen) iedereen op duizend manieren onder surveillance stellen.
19-08-2024, 14:42 door Anoniem
Door Anoniem: "heridentificatie"

Ik dacht dat dit alleen door phishing werd gedaan, maar er zijn dus blijkbaar serieus partijen die dit doen.

Daar worden ze toe verplicht vanuit de WWFT, met name bij klanten die al lang geleden hun rekening/product hebben afgesloten.
19-08-2024, 14:59 door karma4
Een heel verwonderlijke verplicht het BSN op te nemen volgens de wet en wwft en vervolgens verklaren dat het verwerken van een BSN niet zou mogen. De redenering kan geen stand houden in tegenspraak met zichzelf en uit dien hoofde een overtreding van de wet.
19-08-2024, 15:03 door Anoniem
Door Anoniem: De vordering is gedeeltelijk toegewezen, maar toch is ICS de grote winnaar. Deze uitspraak maakt duidelijk dat zelf als je klaagt over een terecht punt, dat je nog jarenlang moet strijden om dat gelijk te halen. En de enige kosten die je dan vergoed krijgt zijn een treinkaartje en het onbetaalde verlof om aanwezig te zijn bij de hoorzitting.

Het bevestigt weer het beeld dat het Kifid louter en alleen bestaat voor het afhouden van klachten over de financiële sector.

Wie betaald, bepaald of in christelijke termen (wiens brood men eet, wiens woord men spreekt). Kifid wordt betaald door de financiële instellingen waarbij Kifid dus zijn geldschieters moet veroordelen. Gaat dat oprecht werken? Neuh. Wint er ooit een consument? Af en toe op minimale zaken.
19-08-2024, 15:06 door Anoniem
Door Bitje-scheef: Ja bijzonder wel, voor het ene gedeelte is men verplicht voor het andere gedeelte mag het niet. Kan me voorstellen dat het voor beide partijen een vreemd geheel is.

Per verwerking van persoonsgegevens moet worden vastgesteld of er een grondslag is om die verwerking te mogen doen. Voor de verwerking van “identificatie nieuwe klant” is gebruik van bsn verplicht, voor de verwerking “fraude onderzoek” dus niet.
19-08-2024, 15:10 door Anoniem
Door Bitje-scheef: Ja bijzonder wel, voor het ene gedeelte is men verplicht voor het andere gedeelte mag het niet. Kan me voorstellen dat het voor beide partijen een vreemd geheel is.
Nee, het is hier niet zo dat de ene wet iets verbiedt dat de andere verplicht, de Wwft noemt het BSN niet eens. De Wwft zelf levert geen grondslag voor die verwerking op, maar dat is geen verbod, en er is hier een andere grondslag.

ICS heeft de klant geantwoord dat het het BSN mag verwerken op grond van de voor hun verplichte doorgifte gegevens aan de Belastingdienst (vermogen, leningen en rente en aan De Nederlandsche Bank (voor het depositogarantiestelsel). Kennelijk hebben ze daarna nog een eind doorgediscussieerd en heeft de klant de grondslag niet geaccepteerd.

Persoonlijk vind ik het nogal wiedes dat als de Wwft eist dat ze iemands identiteit controleren en bij het vastleggen van die identiteit het BSN verplicht wordt gebruikt, dat het BSN dan onderdeel uitmaakt van die identiteitscontrole, want een identiteitscontrole is een controle of de identificerende gegevens kloppen en daar maakt bij hun het BSN deel van uit.

Ik vind wel dat ICS dat in de brief aan de klanten direct correct had moeten weergeven, en hoop dat ze hiervan leren dat die brief beter geformuleerd moet worden.
19-08-2024, 16:07 door Anoniem
Kifid heeft niet ver genoeg gekeken want ICS heeft een banklicentie, en onder die banklicentie is ICS verplicht om BSN te verwerken.
19-08-2024, 16:09 door [Account Verwijderd] - Bijgewerkt: 19-08-2024, 16:13
Je zou ook kunnen zeggen dat wetten en regelgeving te weinig bescherming aan nederlanders bieden.
Het Kifid toets hier aan.
Dat is inderdaad nu het punt. Hoeveel wetten zijn niet gemaakt die niet in het voordeel van de burger uitpakken? Je kunt er legio van noemen. En ook wat de jurisprudentie betreft trekt de burger (weer) aan het kortste eind.

Maar het kan nog gekker, hoewel geen kifid-verhaal.

In mijn huis zit asbest, en bij de regionale afdeling van de belastingen (zodat je rioolrechten moet betalen bijvoorbeeld) kon je aangeven dat je marktwaardeprijs van je huis kan dalen, juist omdat er asbest in zit. Het bewijs stuurde ik mee naar de belastingdienst, maar die wilde geen krimp geven. Die vond dat ik maar een proces moest beginnen en dat terwijl er al processen over gevoerd zijn en de uitspraak van de rechter toch duidelijk is: in zo'n geval moet de marktwaardeprijs van een huis dalen en dus worden de belastingen daarop (naar beneden worden) aangepast.

Maar nee hoor, de burger (die geen advocaat kan betalen) staat dan vervolgens met lege handen in een land dat zich rechtstaat placht te noemen. De belastingdienst liet mij fijntjes weten dat een verlaging van de belasting er niet in zat en dat ik "het volle pond" moest betalen.

Hoe de Nederlandse rechtstaat in een onrechtstaat is veranderd!
19-08-2024, 16:18 door Anoniem
Door Anoniem: Kifid heeft niet ver genoeg gekeken want ICS heeft een banklicentie, en onder die banklicentie is ICS verplicht om BSN te verwerken.
Een banklicentie is op zichzelf geen wettelijke grondslag, maar een vergunning. Voor het verwerken van gegevens is een wettelijke grondslag nodig. Die grondslag is in dit geval de verplichting die in de AWR is opgenomen.
19-08-2024, 16:24 door Anoniem
Door Bitje-scheef: Ja bijzonder wel, voor het ene gedeelte is men verplicht voor het andere gedeelte mag het niet. Kan me voorstellen dat het voor beide partijen een vreemd geheel is.
Is het concept "verwerkingsgrondslagen" meer dan 8 jaar na invoeren AVG nog "een vreemd geheel"?
19-08-2024, 17:28 door karma4 - Bijgewerkt: 19-08-2024, 17:29
Door Anoniem:
Door Anoniem: Kifid heeft niet ver genoeg gekeken want ICS heeft een banklicentie, en onder die banklicentie is ICS verplicht om BSN te verwerken.
Een banklicentie is op zichzelf geen wettelijke grondslag, maar een vergunning. Voor het verwerken van gegevens is een wettelijke grondslag nodig. Die grondslag is in dit geval de verplichting die in de AWR is opgenomen.

Met een bankvergunning zijn er ook verplichtingen, die zijn:
- vaststellen van de juiste persoon waarbij het bsn een sleutelrol heeft, wettelijk verplicht.
- bijhouden of er bijzondere zaken spelen welke het daglicht niet verdragen. Gaat samen met BSN met verplicht doorgeven.
Dat zijn europese richtlijnen waar een staat niet zomaar van kan afwijken.
Artikel 3 lid 2 https://wetten.overheid.nl/BWBR0024282/2022-11-01 het kunnen identificeren is herleidbaar tot een bsn. Artikel 33 is daarbij nog strikter.
Een naam is geen identificatie want niet uniek.
19-08-2024, 20:49 door Anoniem
Tenzij ICS inmiddels alle andere klanten geïnformeerd heeft dat ze op onjuiste grondslag het bsn verwerkt hebben lijkt het me dat de toezichthouders hier horen in te grijpen. Want kennelijk hanteerde ICS alleen een andere grondslag voor deze klagende klant. De andere klanten niet informeren dat de gegeven grondslag onjuist is en men een andere wil gebruiken is een overtreding per geval. ICS heeft naar eigen zeggen ongeveer 3 miljoen klanten.
20-08-2024, 07:34 door Anoniem
Er is een hele goede rede dat i geen creditkaart hebt bij ICS, vanwege dezelfde rede als hier beschreven. heb alleen zelf eieren voor mijn geld gekozen. Heb nu een creditkaart zonder last te hebben van ICS. Identificatie en wwft check moesten daarvoor ook worden gedaan, maar zonder BSN nummer en volledig geïnformeerd.
ICS is een bedrijf waar ik zo ver mogelijk van weg wil blijven.
20-08-2024, 08:38 door Bitje-scheef
Door Anoniem:
Door Bitje-scheef: Ja bijzonder wel, voor het ene gedeelte is men verplicht voor het andere gedeelte mag het niet. Kan me voorstellen dat het voor beide partijen een vreemd geheel is.
Is het concept "verwerkingsgrondslagen" meer dan 8 jaar na invoeren AVG nog "een vreemd geheel"?

Eigenlijk meer in de zin, op ene moment moeten ze iets doen en de informatie ook bijhouden op het andere moment, mogen ze dit niet meer maar die informatie zit wel in het systeem. Daar dit ondoorzichtig is kan ik me geheel voorstellen dat dit verwarring geeft. En als iets onlogisch is, want niet iedereen is een jurist... tja.
20-08-2024, 08:51 door Anoniem
Door Anoniem: Het probleem lijkt in dit geval niet het Kifid te zijn, maar de wetgeving zelf, in casu de AWR. Met de in de AWR opgenomen verplichting voor creditcardmaatschappijen om de BSN-nummers van klanten aan de Belastingdienst door te geven, is de privacy-bescherming van die klanten uitgeschakeld.

Die plicht in de AWR is nergens voor nodig. Het gaat immers om de belasting die de creditcardmaatschappij moet betalen. Daarvoor zijn de inkomsten van de creditcardmaatschappij van belang, maar niet de identiteit van elk van de honderdduizenden klanten.
Nee, het gaat daarbij niet om de vermogenspositie van de financiële instelling maar om de vermogensposities van de klanten. Die moeten controleerbaar zijn voor de Belastingdienst en daartoe moet een financiële instelling vermogensgegevens van klanten, inclusief hun BSN, aan de Belastingdienst doorgeven.

Het saldo van een klant wordt geen onderdeel van het eigen vermogen van de financiële instelling, dat blijft van de klant zelf.
20-08-2024, 09:10 door Anoniem
Het begon ooit als Sofinummer. Het lijkt mij onwenselijk dat commerciële bedrijven dit gebruiken en dat die gegevens ook in handen komen van buitenlandse overheden.
Overigens was het beter geweest om deze zaak aan de rechter voor te leggen, het Kifid beslist vaak in het voordeel van de banken/ financiële instellingen. En bij de rechter kan je in hoger beroep.
20-08-2024, 09:47 door Anoniem
Het lijkt mij toch vrij simpel: Het BSN wordt opgeslagen bij de identificatiegegevens, maar mag verder niet gebruikt worden voor interne doeleinden. Dat betekent dat voor intern gebruik een een intern persoonsnummer gebruikt moet worden, dat niet rechtstreeks herleidbaar is naar het BSN.
20-08-2024, 09:50 door Anoniem
Door Anoniem: Het begon ooit als Sofinummer. Het lijkt mij onwenselijk dat commerciële bedrijven dit gebruiken en dat die gegevens ook in handen komen van buitenlandse overheden.
Overigens was het beter geweest om deze zaak aan de rechter voor te leggen, het Kifid beslist vaak in het voordeel van de banken/ financiële instellingen. En bij de rechter kan je in hoger beroep.

Het is wettelijk geregeld dat een bank (ICS.heeft een bank licentie) deze gegevens moet hebben, daar zal een rechter niets aan veranderen. Zie vorige reacties.
20-08-2024, 10:05 door Anoniem
Door Anoniem:
Door Anoniem: Het probleem lijkt in dit geval niet het Kifid te zijn, maar de wetgeving zelf, in casu de AWR. Met de in de AWR opgenomen verplichting voor creditcardmaatschappijen om de BSN-nummers van klanten aan de Belastingdienst door te geven, is de privacy-bescherming van die klanten uitgeschakeld.

Die plicht in de AWR is nergens voor nodig. Het gaat immers om de belasting die de creditcardmaatschappij moet betalen. Daarvoor zijn de inkomsten van de creditcardmaatschappij van belang, maar niet de identiteit van elk van de honderdduizenden klanten.
Nee, het gaat daarbij niet om de vermogenspositie van de financiële instelling maar om de vermogensposities van de klanten. Die moeten controleerbaar zijn voor de Belastingdienst en daartoe moet een financiële instelling vermogensgegevens van klanten, inclusief hun BSN, aan de Belastingdienst doorgeven.

Het saldo van een klant wordt geen onderdeel van het eigen vermogen van de financiële instelling, dat blijft van de klant zelf.
Het is objectief gezien niet nodig om de vermogenspositie van klanten exact te controleren via alle instellingen waarmee ze transacties verrichten. Een klant die binnen een beperkte kredietlimiet (zeg 3000 euro) met een creditcard geld van een kredietkaartbedrijf leent, ondervindt daarvan maar een heel klein effect op z'n vermogenspositie (in termen van vermogensbelasting maximaal zo'n 50 euro, maar dan moet het al gaan om iemand met een vermogen van, wat is het, meer dan 30.000 euro of zoiets). De Belastingdienst is inhoudelijk helemaal niet geïnteresseerd in dergelijke kleine verschillen, dat zijn afrondingen.

Er wordt ook niet aan alle winkels gevraagd om inkopen van hun klanten door te geven aan de Belastingdienst. Restaurants hoeven niet aan de Belastingdienst door te geven of klanten nog openstaande rekeningen hebben.

Andere vraag is wat de overheid zelf bedacht heeft wat "nodig" zou zijn en hoeveel data de overheid wil stofzuigeren om mensen te profileren. Als je het aan de overheid overlaat, dan vinden ze het over een aantal jaar "nodig" om op straat onaangekondigde anuscontroles te doen om te checken of mensen op straat geen drugs vervoeren "waar de zon niet schijnt". Dat vindt de overheid dan ook nog "proportioneel". Deze controlezucht kent geen grenzen en er valt altijd een reden te bedenken waarom het "nuttig" en "dus nodig" en "proportioneel" zou zijn om nòg meer controle te doen.

Wat er tegenwoordig gebeurt en hoe het "geregeld" is, werd veertig jaar geleden absoluut niet proportioneel gevonden, maar dystopisch. Het is ook dystopisch en daar hoort bij dat mensen die in een dystopie leven, dat heel normaal vinden en zo nodig nog een extra slaappilletje slikken om het normaal te kunnen blijven vinden.

Dus het zal vast in de AWR staan dat ICS dat allemaal door moet geven aan de Belastingdienst. De wetgeving is al lang niet redelijk meer. Hoe je dan als burger omgaat met die alsmaar groeiende "pain in the ass", waarbij de helft van de bevolking in overheidsdienst coloscopie pleegt op de andere helft, dat moet ieder voor zichzelf maar bedenken en leent zich niet voor bespreking op deze site.
20-08-2024, 11:25 door Anoniem
Door Bitje-scheef: Eigenlijk meer in de zin, op ene moment moeten ze iets doen en de informatie ook bijhouden op het andere moment, mogen ze dit niet meer maar die informatie zit wel in het systeem. Daar dit ondoorzichtig is kan ik me geheel voorstellen dat dit verwarring geeft. En als iets onlogisch is, want niet iedereen is een jurist... tja.
Nogmaals: het is helemaal niet zo dat ze volgens de ene wet iets moeten dat volgens de andere wet niet mag. De Wwft verbiedt helemaal niet dat het BSN wordt gebruikt. Zie gisteren 15:10.
20-08-2024, 14:57 door Anoniem
Beide wetgevingen zijn volgens mij gemaakt door ministerie van Financiën.
Dus taak aan hun om de wetten ter herijken, volgens AVG en Archiefwet.
De vraag is vnl. of BSN wel echt nodig is, voor de uitvoering van deze wet.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.