image

Privacy First vraagt minister om aanpassing klantidentificatie banken

donderdag 12 september 2024, 15:15 door Redactie, 22 reacties

Stichting Privacy First heeft minister Heinen van Financiën gevraagd om de manier waarop banken en andere financiële instellingen hun klanten identificeren aan te passen. "Vanwege de digitale ontwikkelingen, onder meer op het gebied van kunstmatige intelligentie, nemen de risico's rondom identiteitsfraude sterk toe", aldus Privacy First. De stichting zegt dat het de afgelopen jaren heeft gezien dat met name bij financiële instellingen riskante praktijken zijn ontstaan op het gebied van identificatie van hun klanten die gevaar opleveren voor burgers.

Met beroep op de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) verlangen financiële instellingen dat klanten kopieën van identiteitsbewijzen maken zonder dat de foto en het burgerservicenummer mogen worden afgeplakt en wordt soms van klanten verlangd dat zij foto’s of video’s van zichzelf maken. "De financiële instellingen bewaren de kopieën en de beelden zeer langdurig en vragen soms tijdens een bestaande relatie opnieuw om identificatie. Dit levert grote gegevensbeschermingsrisico’s voor burgers op en is in strijd met de Wwft en AVG", waarschuwt Privacy First.

De stichting merkt in het verzoek aan de minister op dat banken en financiële instellingen steeds vaker ook gebruikmaken van biometrische identificatie. "Het gebruik van biometrische kenmerken bij verificatie van de identiteit is zeer riskant omdat deze kenmerken kunnen worden gekopieerd en nagemaakt, bijvoorbeeld door middel van deepfakes. Biometrische gegevens van mensen worden op allerlei manieren digitaal geoogst en verspreid, wat identiteitsfraude makkelijk maakt." Privacy First vindt dat biometrische identificatie alleen mag worden gebruikt als er geen alternatief is, er een adequate wettelijke basis is en er afdoende waarborgen zijn.

Privacy First stelt ook dat de Wwft geen grondslag biedt voor het langdurig bewaren van kopieën van identiteitsbewijzen. Daarnaast leidt het langdurig bewaren van kopieën van identiteitsbewijzen, selfies en video-opnamen tot verhoogde risico's op identiteitsmisbruik. Volgens Privacy First is het dan ook nodig om de identificatiepraktijken op grond van de Wwft ingrijpend aan te passen, zodat wordt voorkomen dat andere Wwft-plichtige ondernemingen het slechte voorbeeld van de financiële sector volgen.

Image

Reacties (22)
12-09-2024, 16:08 door Reinder
Die banken die proberen te verplichten dat je een video van jezelf maakt zijn me een doorn in het oog inderdaad. Als je een gewone baan hebt is het hebben van een bankrekening verplicht (tenmisnte het minimumsalaris moet bij wet verplicht worden overgemaakt naar een bankrekening), om nog maar te zwijgen van gewoon mee kunnen doen aan de maatschappij en kunnen betalen. Uitkeringen kan je ook alleen maar zo ontvangen, en zaken als gas/water/licht en huur kan je eigenlijk ook uitsluitend betalen door overmaken. Daarom hebben banken ook een verplichting om teminste te voorzien in een basis-bankrekening.

Om dan als bank te gaan eisen dat mensen een smartphone of zo hebben om videoselfies te gaan maken past daar niet bij, tenminste niet als er niet ook daarnaast de mogelijkheid is om naar een fysiek kantoor te komen om je id-bewijs te laten zien. In tegenstelling tot een bankrekening is het hebben van een smartphone niet verplicht, het zou niet moeten mogen dat je dat wel moet hebben om aan een andere wettelijke verplichting te voldoen. Wellicht is het een idee als een partij eens een wetsvoorstel in zou dienen om het hebben van een smartphone bij wet te verplichten, dat zou in elk geval, hoe kansloos ook, een interessant publiek debat opleveren.
12-09-2024, 16:10 door majortom - Bijgewerkt: 12-09-2024, 16:11
De stichting merkt in het verzoek aan de minister op dat banken en financiële instellingen steeds vaker ook gebruikmaken van biometrische identificatie.
Dit proberen de financiele instellingen inderdaad iedereen door de strot te duwen. Dit mag nu al niet vanuit de AVG en de Wwft biedt hier ook geen grondslag voor. Ik ga hier dan ook niet in mee. De financiele instellingen dreigen vervolgens met van alles: een formele klacht indienen mbt deze "eis" heeft tot op heden ervoor gezorgd dat de idenitficatie analoog heeft plaatsgevonden bij alle instellingen waarmee ik te maken heb gehad. Deze strijd is wel een tijdrovend proces en het is goed dat PrivacyFirst hier aandacht voor vraagt en formeel een uitspraak wil om dit aan te passen (vrijwillig ok, verplicht no-go).

Ook maken deze instellingen zich er erg gemakkelijk vanaf: deze vorm van identificatie op afstand is geen deugdelijke identifiatiemethode: deze is te gemakkelijk te faken.

Overigens kan ik het helemaal niet, aangezien ik de selfie camera's in alle devices fysiek onklaar heb gemaakt. Een veel te groot security risico om deze te hebben.
12-09-2024, 16:28 door Anoniem
Banken zijn tegen financiering van terrorisme... Terwijl ze zelf illegale wapenhandel financieren!!!
De pot verwijt de ketel.
12-09-2024, 17:37 door Anoniem
Heb dat moeten doen bij de aanvraag van een creditcard van ICS.

Vroeger was het invullen van een formulier voldoende, nu moest ik een foto maken van mijn paspoort, de digitale informatie van de chip uit laten lezen en ook een foto van mijzelf maken. Dit alles werd dan vergeleken. Zonder deze verificatie kon je zelfs niet beginnen aan een aanvraag. Als het wordt goedgekeurd, wordt er binnen 1 week nagetrokken of je schulden hebt gehad de laatste jaren. Je wordt dus ook nog eens gecontroleerd op een negatieve BKR-registratie.

Als je dus een creditcard nodig hebt, dan word je volledig binnenste buiten gekeerd door de banken. En zeg niet dat de banken dit alleen doen: dit gebeurt ook als je onverhoopt een verklaring van erfrecht nodig hebt bij een notaris ingeval van overlijden van een familielid: dan word je ook zo behandeld.

En dat alles wordt gedaan onder het mom van witwassen en terrorismefinanciering...
12-09-2024, 17:40 door Anoniem
Door Anoniem: Banken zijn tegen financiering van terrorisme... Terwijl ze zelf illegale wapenhandel financieren!!!
De pot verwijt de ketel.
U begrijpt het niet.

De wapens die terroristen gebruiken komen uit Iran en Noord-Korea. Terroristen hebben illegale wapenhandel helemaal niet nodig, zoals u dat hier stelt.
12-09-2024, 19:35 door karma4
privacy first slaat de plank volledig is. Klantidentificatie en wat er daarachter zit moet verder ingevoerd kunnen worden.
Fraudeurs en oplichters hebben vrij spel als de vraag of het om de juiste persoon gaat overgeslagen wordt.
De controle daarop ontbreekt veel te vaak, dat is het echte probleem.
12-09-2024, 20:22 door Erik van Straten
Zie ook (waaronder reacties van bezoekers die het niet met mij eens zijn):

• "Kopie-ID: kap ermee!"
https://security.nl/posting/827137

• "Authenticatie en impersonatie" (lang)
https://security.nl/posting/792391

En zorg er sowieso eerst maar eens voor dat het internet en browsers stukken veiliger worden, o.a. om te voorkómen dat mensen op een nepsite gaan VideoIdenten - met als gevolg een onmiddelijk gekloonde identiteit (beide Engelstalig: https://infosec.exchange/@ErikvanStraten/113124204291514950, m.b.t. Firefox onder Android zie https://infosec.exchange/@ErikvanStraten/113125611232033225).
12-09-2024, 20:43 door Anoniem
Door Erik van Straten: Zie ook (waaronder reacties van bezoekers die het niet met mij eens zijn):

• "Kopie-ID: kap ermee!"
https://security.nl/posting/827137

• "Authenticatie en impersonatie" (lang)
https://security.nl/posting/792391

En zorg er sowieso eerst maar eens voor dat het internet en browsers stukken veiliger worden, o.a. om te voorkómen dat mensen op een nepsite gaan VideoIdenten - met als gevolg een onmiddelijk gekloonde identiteit (beide Engelstalig: https://infosec.exchange/@ErikvanStraten/113124204291514950, m.b.t. Firefox onder Android zie https://infosec.exchange/@ErikvanStraten/113125611232033225).

Computer met sputumbakje aan het toetsenbord lijkt mij een onvermijdelijke ontwikkeling worden.
13-09-2024, 08:01 door Anoniem
De banken moeten ook onbezoldigd voor de overheid werken. Ik had er ook zo een die een video-identificatie eiste. Joh, ik heb geen smartfoon. Ik heb geen webcam - voor de hand liggende redenen - en nee, er draait hier ok geen M$ wat in hun optiek noodzakelijk is om zaken met ze te kunnen doen.
De oplossing was simpel: doei. En daarna krijg je een accountmanager aan de lijn dat ze het toch wel erg jammer vinden dat je weg bent en wat ze kunnen doen om je terug te krijgen. Tsja...
Het enige wat helpt is massaal de middelvinger opsteken. Maar dat zullen de schaapjes wel niet doen. De terroristen hebben al lang gewonnen - zie het artikel.
13-09-2024, 09:31 door Anoniem
Door karma4: privacy first slaat de plank volledig is. Klantidentificatie en wat er daarachter zit moet verder ingevoerd kunnen worden.
Fraudeurs en oplichters hebben vrij spel als de vraag of het om de juiste persoon gaat overgeslagen wordt.
De controle daarop ontbreekt veel te vaak, dat is het echte probleem.

Lees de eerste zin nog eens! Daar staat letterlijk: ..."Stichting Privacy First heeft minister Heinen van Financiën gevraagd om de manier waarop banken en andere financiële instellingen hun klanten identificeren aan te passen"...
De vraag gaat dus over de MANIER waarop het gebeurt, Jij bent veel te veel gefixeerd op het feit DAT het al of niet gebeurd; blind voor wat er werkelijk speelt.

Ik denk dat op enkele uitzonderingen na, criminelen dus, iedereen inclusief Privacy First het belangrijk vindt dat een bank zeer zeker weet aan wie het financiële diensten verleent.
13-09-2024, 09:54 door Anoniem
Ik denk dat voor de gemiddelde klant van een bank het risico dat iemand anders zich ten onrechte als hemzelf weet te laten identificeren en dan vervolgens fraude gaat plegen veel groter is dan dat informatie die hij naar de bank stuurt door de bank gelekt wordt.
M.a.w. wat men in feite vraagt en wat er nodig is dat is nog grondiger identificatie van klanten.

Ik denk ook dat de wet zodanig moet worden aangepast dat een copie van een identiteitsbewijs geen bewijs van identiteit meer is, en het weten van persoonsgegevens (zoals een BSN) ook niet.
Je mag als bedrijf best "losjes" iemand proberen te identificeren op zo'n soort manier, maar mochten er problemen komen (blijkt toch niet juist geidentifceerd) dan heb je als bedrijf je zaak automatisch verloren zonder juridische procedure.
Dan staat het ieder bedrijf (niet een bank natuurlijk) vrij om bijvoorbeeld een abonnement af te sluiten of een afbetalingscontract op te stellen, alleen als blijkt dat het niet klopte heeft het slachtoffer van de fraude daar verder geen last van. Aan ieder bedrijf de vrijheid om het juiste punt te zoeken van risico en moeite.

In ieder geval is het nutteloos om dat "ojee ze hebben een copie van mijn ID en die zou kunnen lekken en misbruikt worden" te blijven achtervolgen, je gaat NOOIT voorkomen dat er ooit informatie lekt. Wat je moet doen is die informatie waardeloos maken.
13-09-2024, 10:28 door Anoniem
Paspoort kopieën onmiddelijk vernietigen na identificatie.Want waarom bewaren? Geef een paspoort check stempel bij een persoon.
Je mag ook je paspoort opsturen per email. PER EMAIL !!!!
13-09-2024, 10:58 door Anoniem
Door Reinder: Die banken die proberen te verplichten dat je een video van jezelf maakt zijn me een doorn in het oog inderdaad. Als je een gewone baan hebt is het hebben van een bankrekening verplicht (tenmisnte het minimumsalaris moet bij wet verplicht worden overgemaakt naar een bankrekening), om nog maar te zwijgen van gewoon mee kunnen doen aan de maatschappij en kunnen betalen. Uitkeringen kan je ook alleen maar zo ontvangen, en zaken als gas/water/licht en huur kan je eigenlijk ook uitsluitend betalen door overmaken. Daarom hebben banken ook een verplichting om teminste te voorzien in een basis-bankrekening.

Om dan als bank te gaan eisen dat mensen een smartphone of zo hebben om videoselfies te gaan maken past daar niet bij, tenminste niet als er niet ook daarnaast de mogelijkheid is om naar een fysiek kantoor te komen om je id-bewijs te laten zien. In tegenstelling tot een bankrekening is het hebben van een smartphone niet verplicht, het zou niet moeten mogen dat je dat wel moet hebben om aan een andere wettelijke verplichting te voldoen. Wellicht is het een idee als een partij eens een wetsvoorstel in zou dienen om het hebben van een smartphone bij wet te verplichten, dat zou in elk geval, hoe kansloos ook, een interessant publiek debat opleveren.

Humor.

Maar als het hebben van een smartphone verplicht gesteld zou worden door de wetgever (stel), wie gaat dat apparaat dan financieren?
Diezelfde wetgever? Elke 3 jaar?
Met een lijst van goedgekeurde leveranciers? (oh, wacht... concurrentie vervalsing)


Ik zie dan de rechtzaken al als paddestoelen opduiken. :-)
13-09-2024, 11:18 door Anoniem
Door Anoniem: Banken zijn tegen financiering van terrorisme... Terwijl ze zelf illegale wapenhandel financieren!!!
De pot verwijt de ketel.

De banken zijn daar niet tegen.
Zij moeten een wetje uitvoeren van politici.

Zonder die wet zouden de banken nog meer schemerige activiteiten ontplooien en financieren.

De banken en multi-nationals zouden vaker moeten worden door gelicht.
Daar zitten de witte boorden criminelen.
Niet onder het gros van de gewone burgers.
Maar of politici dat ooit nog gaan leren.
13-09-2024, 11:23 door Anoniem
Door karma4: privacy first slaat de plank volledig is. Klantidentificatie en wat er daarachter zit moet verder ingevoerd kunnen worden.
Fraudeurs en oplichters hebben vrij spel als de vraag of het om de juiste persoon gaat overgeslagen wordt.
De controle daarop ontbreekt veel te vaak, dat is het echte probleem.

Als de banken nog filialen hadden, dan konden ze de persoon die langskomt aan de hand van zijn id-bewijs visueel live identificeren.
Dan zouden ze pas goed bezig zijn.
Met identificatie op afstand werken banken fraude en misstanden juist in de hand.

Maar ja, die filialen bestaan niet meer.
Dat was ook een keuze van de banken.
13-09-2024, 11:27 door Anoniem
Door Anoniem: Paspoort kopieën onmiddelijk vernietigen na identificatie.Want waarom bewaren? Geef een paspoort check stempel bij een persoon.
Je mag ook je paspoort opsturen per email. PER EMAIL !!!!

Hoe doe je dat?

[s]

Dat paspoort is nog een papieren/plastic ding.
Hoe verstuur je dat per email?
En krijg je hem na afloop ook weer ongeschonden terug?

[/s]
13-09-2024, 17:28 door Anoniem
Door Anoniem:
Door Anoniem: Paspoort kopieën onmiddelijk vernietigen na identificatie.Want waarom bewaren? Geef een paspoort check stempel bij een persoon.
Je mag ook je paspoort opsturen per email. PER EMAIL !!!!

Hoe doe je dat?

[s]

Dat paspoort is nog een papieren/plastic ding.
Hoe verstuur je dat per email?
En krijg je hem na afloop ook weer ongeschonden terug?

[/s]
Gewoon versleuteld via encrypted link een kopie die 1x kan worden gedownload (de link) via Tresorit of Proton Drive
Maar banken verplichten de kopie te vernietigen (boetes enz)
Of per post een kopie waarvoor ook geldt na ontvangst vernietigen (op strafe van enorme boetes bij fouten)
13-09-2024, 18:39 door Anoniem
Door Anoniem:
Door Anoniem: Paspoort kopieën onmiddelijk vernietigen na identificatie.Want waarom bewaren? Geef een paspoort check stempel bij een persoon.
Je mag ook je paspoort opsturen per email. PER EMAIL !!!!

Hoe doe je dat?

[s]

Dat paspoort is nog een papieren/plastic ding.
Hoe verstuur je dat per email?
En krijg je hem na afloop ook weer ongeschonden terug?

[/s]
ja kopie bedoel ik natuurljk
13-09-2024, 19:43 door Anoniem
Totaal bekrompen dat banken geen gebruik mogen maken van DigiD. Dat zou alle problemen oplossen. Alle partijen die wettelijk identificatie plicht hebben zouden hierop aan moeten kunnen sluiten. Al die vage privacy onvriendelijke oplossingen ben je dan van af.
Door karma4: privacy first slaat de plank volledig is. Klantidentificatie en wat er daarachter zit moet verder ingevoerd kunnen worden.
Fraudeurs en oplichters hebben vrij spel als de vraag of het om de juiste persoon gaat overgeslagen wordt.
De controle daarop ontbreekt veel te vaak, dat is het echte probleem.
Correct wat betreft identificatie.
En overigens ook wat betreft de juridische basis voor het bewaren, dat staat gewoon letterlijk in de WWFT namelijk tot 5 jaar na het beëindigen van de relatie.
Voor de biometrische gegevens (art. 9.1 AVG) en de daarbij behorende uitzonderingen (art. 9.2 AVG) hebben ze mogelijk wel gelijk omdat er geen juridische basis is, geen uitzonderingsgrond kan worden gebruikt en daarmee het biometrisch gebruik voor het uniek identificeren van een natuurljk persoon per definitie niet is toegestaan.
Overigens doen e het ook allemaal als je belt, waarom denk je anders dat je tegenwoordig (zogenaamd voor het gemak) alles moet inspreken? Van American Express weet ik het zeker, verdraai je stem en je krijgt meer security vragen, ra ra waarom zou dat zijn?
Door Anoniem: Totaal bekrompen dat banken geen gebruik mogen maken van DigiD. Dat zou alle problemen oplossen. Alle partijen die wettelijk identificatie plicht hebben zouden hierop aan moeten kunnen sluiten. Al die vage privacy onvriendelijke oplossingen ben je dan van af.
Voor de WWFT checks mogen de banken het BSN niet gebruiken, die hebben ze alleen maar nodig om jouw rekening saldi aan de belastingdienst door te geven.
Daarmee is DiGiD onmogelijk.
Buiten dat ik me afvraag of ze überhaupt wel door een DiGiD audit heen zouden komen, maar dat terzijde.
Het probleem met dit hele verhaal zit hem in alle digitalisering en dan ook nog het feit dat ze kopietjes willen zonder enige afscherming, want dan werkt de digitale verificatie niet meer.
Uitermate duidelijk gemaakt met een rechtzaak hierover tegen International Card Services (ICS) waarbij iemand die het ook niet snapt zelfs een fysieke identificatie weigerde.
Resultaat: de Autoriteit persoonsgegevens beweert nu dat alle financiële instellingen om een onbeschreven volledige kopie mogen vragen. Wat ze dus ook masaal doen, inclusief allerlei hoekhouders en accountants.
Terwijl de zaak alleen ging om digitale identificatie en ICS beweerde daarna de kopie netjes af te schermen, geeft het AP nu iedereen carte blanch voor het verzamelen van kopietjes waarbij de Kopie ID app niet gebruikt mag worden.
En dat door die ene rechtzaak waarbij een of andere onverlaat zonder kennis vind dat zijn/haar privacy zo geschonden is dat ICS maar naar zijn/haar pijnpen moest dansen. Het resultaat is dus nog een onveiliger gebruik van het kopietje paspoort dan als die onbenul netjes een fysieke check op locatie had geaccepteerd.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.