Privacy First vraagt minister om aanpassing klantidentificatie banken
Stichting Privacy First heeft minister Heinen van Financiën gevraagd om de manier waarop banken en andere financiële instellingen hun klanten identificeren aan te passen. "Vanwege de digitale ontwikkelingen, onder meer op het gebied van kunstmatige intelligentie, nemen de risico's rondom identiteitsfraude sterk toe", aldus Privacy First. De stichting zegt dat het de afgelopen jaren heeft gezien dat met name bij financiële instellingen riskante praktijken zijn ontstaan op het gebied van identificatie van hun klanten die gevaar opleveren voor burgers.
Met beroep op de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) verlangen financiële instellingen dat klanten kopieën van identiteitsbewijzen maken zonder dat de foto en het burgerservicenummer mogen worden afgeplakt en wordt soms van klanten verlangd dat zij foto’s of video’s van zichzelf maken. "De financiële instellingen bewaren de kopieën en de beelden zeer langdurig en vragen soms tijdens een bestaande relatie opnieuw om identificatie. Dit levert grote gegevensbeschermingsrisico’s voor burgers op en is in strijd met de Wwft en AVG", waarschuwt Privacy First.
De stichting merkt in het verzoek aan de minister op dat banken en financiële instellingen steeds vaker ook gebruikmaken van biometrische identificatie. "Het gebruik van biometrische kenmerken bij verificatie van de identiteit is zeer riskant omdat deze kenmerken kunnen worden gekopieerd en nagemaakt, bijvoorbeeld door middel van deepfakes. Biometrische gegevens van mensen worden op allerlei manieren digitaal geoogst en verspreid, wat identiteitsfraude makkelijk maakt." Privacy First vindt dat biometrische identificatie alleen mag worden gebruikt als er geen alternatief is, er een adequate wettelijke basis is en er afdoende waarborgen zijn.
Privacy First stelt ook dat de Wwft geen grondslag biedt voor het langdurig bewaren van kopieën van identiteitsbewijzen. Daarnaast leidt het langdurig bewaren van kopieën van identiteitsbewijzen, selfies en video-opnamen tot verhoogde risico's op identiteitsmisbruik. Volgens Privacy First is het dan ook nodig om de identificatiepraktijken op grond van de Wwft ingrijpend aan te passen, zodat wordt voorkomen dat andere Wwft-plichtige ondernemingen het slechte voorbeeld van de financiële sector volgen.
Om dan als bank te gaan eisen dat mensen een smartphone of zo hebben om videoselfies te gaan maken past daar niet bij, tenminste niet als er niet ook daarnaast de mogelijkheid is om naar een fysiek kantoor te komen om je id-bewijs te laten zien. In tegenstelling tot een bankrekening is het hebben van een smartphone niet verplicht, het zou niet moeten mogen dat je dat wel moet hebben om aan een andere wettelijke verplichting te voldoen. Wellicht is het een idee als een partij eens een wetsvoorstel in zou dienen om het hebben van een smartphone bij wet te verplichten, dat zou in elk geval, hoe kansloos ook, een interessant publiek debat opleveren.
Ook maken deze instellingen zich er erg gemakkelijk vanaf: deze vorm van identificatie op afstand is geen deugdelijke identifiatiemethode: deze is te gemakkelijk te faken.
Overigens kan ik het helemaal niet, aangezien ik de selfie camera's in alle devices fysiek onklaar heb gemaakt. Een veel te groot security risico om deze te hebben.
De pot verwijt de ketel.
Vroeger was het invullen van een formulier voldoende, nu moest ik een foto maken van mijn paspoort, de digitale informatie van de chip uit laten lezen en ook een foto van mijzelf maken. Dit alles werd dan vergeleken. Zonder deze verificatie kon je zelfs niet beginnen aan een aanvraag. Als het wordt goedgekeurd, wordt er binnen 1 week nagetrokken of je schulden hebt gehad de laatste jaren. Je wordt dus ook nog eens gecontroleerd op een negatieve BKR-registratie.
Als je dus een creditcard nodig hebt, dan word je volledig binnenste buiten gekeerd door de banken. En zeg niet dat de banken dit alleen doen: dit gebeurt ook als je onverhoopt een verklaring van erfrecht nodig hebt bij een notaris ingeval van overlijden van een familielid: dan word je ook zo behandeld.
En dat alles wordt gedaan onder het mom van witwassen en terrorismefinanciering...
De pot verwijt de ketel.
De wapens die terroristen gebruiken komen uit Iran en Noord-Korea. Terroristen hebben illegale wapenhandel helemaal niet nodig, zoals u dat hier stelt.
Fraudeurs en oplichters hebben vrij spel als de vraag of het om de juiste persoon gaat overgeslagen wordt.
De controle daarop ontbreekt veel te vaak, dat is het echte probleem.
• "Kopie-ID: kap ermee!"
https://security.nl/posting/827137
• "Authenticatie en impersonatie" (lang)
https://security.nl/posting/792391
En zorg er sowieso eerst maar eens voor dat het internet en browsers stukken veiliger worden, o.a. om te voorkómen dat mensen op een nepsite gaan VideoIdenten - met als gevolg een onmiddelijk gekloonde identiteit (beide Engelstalig: https://infosec.exchange/@ErikvanStraten/113124204291514950, m.b.t. Firefox onder Android zie https://infosec.exchange/@ErikvanStraten/113125611232033225).
• "Kopie-ID: kap ermee!"
https://security.nl/posting/827137
• "Authenticatie en impersonatie" (lang)
https://security.nl/posting/792391
En zorg er sowieso eerst maar eens voor dat het internet en browsers stukken veiliger worden, o.a. om te voorkómen dat mensen op een nepsite gaan VideoIdenten - met als gevolg een onmiddelijk gekloonde identiteit (beide Engelstalig: https://infosec.exchange/@ErikvanStraten/113124204291514950, m.b.t. Firefox onder Android zie https://infosec.exchange/@ErikvanStraten/113125611232033225).
Computer met sputumbakje aan het toetsenbord lijkt mij een onvermijdelijke ontwikkeling worden.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Specialist
Kan jij security vraagstukken vertalen naar praktische oplossingen in onze snel digitaliserende wereld? Heb jij affiniteit met security scans en kan jij security incidenten onderzoeken en verbeteringen doorvoeren? Kom dan bij ons werken als:
Security Specialist
Leusden, Fulltime, HBO/WO,
Max. 6.135,-
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.