Dan moeten ze naar de AP stappen.
Het gaat hier immers om onnodige gegevensverwerking door de bank. Daar zou de AP op moeten handhaven.

wat ik zo snel niet kan vinden is wat de bewerking precies geweest is.
Als er irrelevante informatie is weggelaten/overgelakt die de bank niet hoeft te weten, maar verder wel de identiteit geverifieerd kan worden, wat is dan precies het probleem?

Vraagje voor de juridische experts hier: Als andere banken wel met een bewerkte kopie van het ID kunnen werken, handelt ABNAMRO dan wel proportioneel door een onbewerkte kopie te verlangen?

Hoezo kan men uberhaupt de identiteit verifieren met een kopie? Zonder ooit het origineel in handen te hebben gehad of de klant in persoon gezien te hebben.

De door banken betaalde Kifid zit er helemaal naast. De bank kan gewoon iemand naar de klant sturen die de identificatie uitvoert en een kopie identiteitsbewijs met masker maakt. Dat bestaat al lang. Geeft de bank geen gelegenheid om de gegevens op een kopie te beperken tot de benodigde gegevens en voor het aanbrengen van een niet wisbare markering van de naam van de bank, voldoet de bank niet aan de beveiligingseisen. De consument heeft recht op bescherming van zijn persoonsgegevens.

terrecht kan iedereen met een copy aan komen...weg security

De EU gaat toch stapje bij stapje steeds verder met het afpakken van privacy he?

Waar houd het op?

Alles maar onder de noemer van terrorisme, terwijl er volgens mij geen 1 terrorist opgepakt is door (her)identificatie bij een bank. Overkill much?

Precies, dat lijken de reaguurders niet te snappen, net zo min als dat het een wettelijke eis is om een kopie van een gevalideerd legitimatie bewijs opvraagbaar op te slaan zoals Kifid stelt. Je kunt wel van mening zijn dat een kopie voldoet, maar dat is slechts dat: een mening, niet gebaseerd op wetgeving.

Uit pagina 4 van de uitspraak (PDF):

Uit https://www.rijksoverheid.nl/onderwerpen/paspoort-en-identiteitskaart/vraag-en-antwoord/met-welke-identiteitsbewijzen-kan-ik-mij-identificeren (met verwarrend taalgebruik (*), de laatste zin heb ik van extra opmaak voorzien):
Uit die laatste zin blijkt de absurditeit van de uitspraak van Kifid al. Ik onderbouw dat verder onder de volgende twee definities.

Identificatie: het overleggen van (zo nauwkeurig mogelijk) identificerende gegevens van een entiteit. Iedereen kan dit doen (de entiteit hoeft hier zelf niet bij aanwezig te zijn).

Authenticatie: met enige zekerheid vaststellen (verifiëren) dat identificerende gegevens van een entiteit daadwerkelijk die entiteit betreffen. Die zekerheid is meestal (zo niet altijd) een stuk lager indien de entiteit niet zelf aanwezig is bij dit proces, omdat de mogelijkheden voor fraude en/of bedrog dan veel groter zijn).

(*) De tekstregel van de overheid:
"U kunt zich niet identificeren met:"
is dus onzin. Er had iets moeten staan als:
"U kunt uw identiteit niet bewijzen met:".

1) Betrouwbare identiteitsbewijzen bevatten echtheidskenmerken, bedoeld om niet te kunnen worden gekopieerd. Als iemand één of meer niet van echt te onderscheiden kopiën van één of meer identiteitsbewijzen maakt, lijkt mij dat die persoon moet worden vervolgd.

2) Er bestaat dus niet zoiets als een "onbewerkte kopie van een fysiek identiteitsbewijs", want het maken van zo'n kopie (of scan, of foto) is een bewerking waarbij veranderingen t.o.v. het origineel ontstaan (een uitzondering hierop is het kopiëren van digitale data, dat meestal mogelijk is zonder dat er een verschil kan worden waargenomen tussen het origineel en de kopie - maar dat is hier niet van toepassing omdat het uitgangspunt een fysiek identiteitsbewijs is).

3) Zoals de overheid ook stelt: tenzij je identiteitsfraude in de hand wilt werken, geldt dat een kopie van een identiteitsbewijs geen identiteitsbewijs is. Oftewel, a.d.h.v. een kopie van een identiteitsbewijs kan een bank niet de identiteit van een klant verifiëren.

4) Dat iemand op afstand een kopie (of scan) van een identiteitsbewijs aanlevert, maakt de zaak nog hachelijker, want betrouwbare verificatie van de identiteit van een drager van een identiteitsbewijs vindt plaats doordat de verifieerder a) het originele identiteitsbewijs op echtheid controleert, en b) dat de verifieerder vaststelt dat de persoon, die in levende lijve voor de verifieerder staat, overeenkomt met de op het (echte) identiteitsbewijs beschreven en getoonde (pasfoto) identificerende gegevens van die persoon.

Nb. De verifieerder kan tijdens laatstgenoemd verificatieproces een kopie maken van het identiteitsbewijs, bijvoorbeeld om later snel te kunnen zien a.d.h.v. welk (en/of welke soort) identiteitsbewijs de identiteit van de betrokkene is geverifieerd. Ook zou zo'n kopie, in vóórkomende gevallen, het achteraf kunnen helpen aantonen als een klant een vervalsing heeft aangeboden. Deze kopie vormt echter geen bewijs van identiteit van de betrokkene (omdat er, ook aan de kant van de verifieerder, te eenvoudig mee gerommeld kan worden, en de kans op kopiejatten nooit voor 100% kan worden uitgesloten).

De door banken gehanteerde authenticatiemethode is gebaseerd op wensdenken, en is juist door kwaadwillenden relatief eenvoudig te omzeilen. Kifid is weer eens ordinair aan het bankklantje pesten (maandag nog in https://security.nl/posting/882422).

Zie ook https://www.security.nl/posting/827137/Kopie-ID%3A+kap+ermee%21.

Toen ik een paar jaar geleden een rekening opende bij ABN-Amro was dat precies wat ze deden. De keuze was toen, als ik me goed herinner, een ritueel via de app of een daarin gespecialiseerd bedrijf langs laten komen. Ik heb geen smartphone en heb voor het laatste gekozen, en zo is het gegaan. Nu hebben ze het over de app gebruiken of online, dus lijkt het erop dat ze zo'n ritueel met selfie in hun webapplicatie hebben ingebouwd.

Een bank is verplicht je BSN te verwerken, want dat hebben ze nodig om je eindejaarssaldo aan de Belastingdienst door te geven, en voor zo'n identificatie online of via de app zullen ze ook je pasfoto moeten gebruiken. Als ze hun identificatie zo in mogen richten levert dat voor de AVG een gerechtvaardigd belang op. Volgens AP mag het allemaal, en mag je geen gegevens van je identiteitsbewijs afschermen:
https://www.autoriteitpersoonsgegevens.nl/themas/financien/financiele-ondernemingen/identificatie-bij-financiele-ondernemingen
Sla niet over om de "snelle antwoorden" open te klappen en te lezen wat daar staat.

Zie de link hierboven. AP is kennelijk tot een andere conclusie gekomen. Tip: probeer dit soort dingen even op te zoeken zodat je je aannames kan verifiëren. Je vindt je eigen aannames natuurlijk altijd logisch, maar dat betekent niet dat je nooit de plank misslaat. Opzoeken helpt.

Er zit speelruimte tussen waartoe een bank minimaal verplicht is en wat een bank mag. Die speelruimte kan verschillen tussen banken opleveren.

En aan iedereen die in paniek raakt hierover, vraag jezelf even af of je om te beginnen wel je geld wilt toevertrouwen aan een bank die niet in staat is om vertrouwelijke gegevens goed te beheren. Als je denkt dat een bank dat niet kan dan lijkt me dat je bij die bank ook geen rekening moet willen hebben.

Ik ben het met Erik van Straten (04-04-2025 om 03:38 uur) eens. Het gaat hier om wensdenken waarbij door Kifid:
-- vereisten van echte verificatie (autenticatie) worden genegeerd;
-- de vermeende effectiviteit van opsturen van niet-bestaande "onbewerkte kopieën" wordt gefantaseerd;
-- en uit die wensfantasie een niet bestaande noodzaak voor het verwerken van persoonsgegevens wordt afgeleid.

De term "onbewerkte kopie" wekt de suggestie(!!) dat die kopie exact hetzelfde zou zijn als het origineel en daardoor bruikbaar om zonder de fysieke aanwezigheid van de drager diens identiteit niet alleen te vernemen (gebaseerd op vertrouwen), maar ook te authenticeren (gebaseerd op wantrouwen).

-- Waar komt het ambtelijke wensdenken toch vandaan?
Kifid en de banken functioneren in hoge mate als ambtelijke instanties. Hun organisatiecultuur en de mentaliteit van hun medewerkers is in hoge mate gebureaucratiseerd. Wat me steeds weer opvalt, is dat de medewerkers van allerlei bureaucratische instanties zich in hun denken niet baseren op aantoonbare of onderzoekbare feiten, maar op ideeën en suggesties dat als iets mischien "een beetje meer controle" zou kunnen opleveren, dit dan ook "bewezen" meer veiligheid oplevert. Een soort warrig wensdenken dat zich tot in de haarvaten van de hersenen van talloze ambtelijk denkenden verspreid lijkt te hebben.

Dit is vergelijkbaar met het idee dat als je de bagage van een vliegtuigpassagier op het vliegveld niet meer fysiek door de scanner haalt, maar alleen voorziet van een label met een "onbewerkte kopie" van het paspoort van de bijbehorende passagier, die bij de veiligheidscontrole zijn originele paspoort laat zien, dat je dan ook al voldoende zeker kunt zijn dat zich in de betreffende bagage geen bom bevindt.

Geen enkel modern vliegveld zal zo gek zijn om een dergelijk wensdenken toe te passen op het checken van vliegtuigbagage. Immers, het hoeft maar één keer mis te gaan en er vallen doden, en dan is het vertrouwen van reizigers in de veiligheid van het vliegverkeer weg.

Het gekke is dat op allerlei andere plekken, waar een totale beveiliging kennelijk niet cruciaal wordt gevonden, dit wensdenken enerzijds wel plaatsvindt, maar anderzijds (en tegelijk!) gepaard gaat met een extreem wantrouwen in alle burgers, alsof volledige controle ook op die plekken toch weer wèl cruciaal zou zijn. Dit is nuchter bekeken onlogisch.

Ik vermoed dat deze bizarre combinatie van wensdenken en totaal wantrouwen voortkomt uit "groepsdenken", waarbij mensen zich (zonder zich daarvan bewust te zijn) genoodzaakt voelen om zich in hun eigen denken te conformeren aan bepaalde ideeën en dogma's. Een beetje zoals politici hun "oprechte meningen" aanpassen aan de politieke machtsverhoudingen van het moment.

Ooit had ik een discussie met een manager over een bepaalde nieuwe manier om sommige werkprocessen in te richten. Dit was recentelijk binnen die organisatie ingevoerd. Ik beargumenteerde waarom die nieuwe manier in veel gevallen niet functioneel was en niet bijdroeg aan een hogere productiviteit. Uiteindelijk, toen de manager geen argumenten meer wist, zei ze: "Ja, maar jij bent bijzonder. Ik ben maar een gewone manager dus soms moet ik gewoon ervan uitgaan dat het werkt."

Het voelde voor mij zeer wrang om te horen dat ik, puur door mijn gezonde verstand adequaat te gebruiken en dat ook uit te spreken, mezelf in een soort uitzonderingscategorie van "bijzondere" mensen had gemanoeuvreerd, waarnaar door beslissers in hun eigen ogen niet meer geluisterd hoefde te worden. Door mij op een complimenteuze toon "bijzonder" te noemen, speelde die manager subtiel op de man en niet op de bal.

-- Planet of the sheep --
De meeste mensen vertonen zulk gedrag. Ze "kiezen" er zelf voor om niet zelfstandig te denken, maar mee te doen met tunnelvisies van "groupthink". Maar "kiezen" is misschien ook niet het goede woord, want het is geen bewuste keuze, maar iets dat ze waarschijnlijk van jongs af aan hebben aangeleerd. Het voelt voor mij een beetje alsof ik hier als mens rondwandel op een soort "Planet of the Sheep", waar zich tussen die schapen trouwens ook heel wat wolven in schaapskleren bevinden. En herders die zich gedragen als Rattenvangers van Hamelen, die met hun verleidelijke fluitspel de schapen ertoe brengen om massaal in bepaalde, zeer ongezonde richtingen te rennen.

Dus wat doe je als mens als je op zo'n Kifid-planeet terecht bent gekomen? Om te overleven, zie ik me af en toe genoodzaakt om een beetje mee te blaten met sommige schapen of mee te huilen met sommige wolven. Ik moet soms een beetje "socialiseren", d.w.z. me laten "sensibiliseren". Dat voelt als me laten verkrachten, maar dat zeg ik dan maar niet hardop, want dan bereik ik niet het gewenste effect, namelijk sociaal geaccepteerd en "vertrouwd" worden. Het werkt alleen als je je met een vriendelijke glimlach laat verkrachten en doet alsof je daar blij mee bent en van geniet.

Maar dat spel, daar zal ik nooit echt goed in worden, want je wordt er pas echt goed in als je:
-- ofwel er zelf helemaal in kan opgaan, dus als je kunt vergeten dat het een spel is,
-- ofwel een cynische psycho- of sociopaat bent die zonder enig probleem 24/7 kan liegen.
Je weet wel, van die mensen die vijfentachtig jaar geleden uit volle overtuiging "H**l H''le'r" riepen, of die tegenwoordig op gezaghebbende toon zeggen: "We stoppen de medische persoonsgegevens van alle EU-burgers in EHDS en regelen bij wet dat hun toestemming daar niet voor nodig is. Door deze gedeeltelijke inperking van het medisch beroepsgeheim realiseren we een betere medische zorg voor alle burgers." Etc. etc. etc.

-- Strontvliegen: een organisch proces --
De mensheid gedraagt zich in grote meerderheid als een kolonie strontvliegen die op een grote drol (de aarde) terecht is gekomen en deze nu uit alle macht leeg probeert te eten, waarbij de vliegen trouwens ook elkaar kannibaliseren. Alles om maar meer calorieën binnen te krijgen!

De Kifid-strontvliegen zijn maar een heel klein onderdeel van het probleem. Of is het wel een probleem? Misschien kun je het beter beschouwen als een organisch verteringsproces. De strontvliegen eten de drol en elkaar op, en in dat proces komt warmte vrij. Die warmte wordt uitgestraald naar het heelal. Terwijl de voedingsstoffen worden omgezet in energie (warmte) die naar het heelal wordt uitgestraald, schrompelt de drol in elkaar en vermindert de hoeveelheid energie en voedingsstoffen ter plaatse. Op een gegeven moment is er te weinig energie over om nog nieuwe vliegeneitjes te produceren. Uiteindelijk eet de laatste strontvlieg de op één na laatste op, en klampt zich daarna vast aan het resterende, kale brokje dat er nog over is van de drol.

Nadat de laatste strontvlieg gestorven is, maken bacteriën het werk af, totdat ook zij in een soort winterslaap gaan en bevriezen. Dit is het voorland waar het Kifid ons heen leidt.

M.J.

Het gebeurt helaas op heel veel plekken.
Daarom kun je beter extreem terughoudend zijn met het verstrekken van kopieën en deze altijd voorzien van een opschrift met datum en doel bijvoorbeeld. En onnodige zaken afschermen.

Met een onbeschermde kopie van je ID of Paspoort kan helaas veel identiteitsfraude mee worden gepleegd. Alleen al met de data die daarvan te lezen is (geboortedatum, naam, BSN, etc ) nog afgezien van de kopie zelf.

Helaas verlangt dezelfde overheid bijvoorbeeld van hotels dat ze je ID of paspoort verifiëren en kom je bijna geen hotel meer binnen zonder dat ze je paspoort willen inscannen. Echt een groot probleem als je het mij vraagt. Veel hotels passen ook geen topbeveiliging tot als het gaat om je kopie paspoort (mapje achter de balie dat gestolen kan worden of slecht beveiliger computer wat nooit updates krijgt).

Beide werken criminaliteit in de hand. Van apps en "Video Ident" heb ik vaak genoeg aangetoond dat dit zwakke authenticatie is, en ook "langs laten komen" normaliseert een risicovol proces (waarbij hufters op dit forum blèren "hoe kun je zo stom zijn"): https://www.politie.nl/nieuws/2024/september/29/08-nepagenten-slaan-weer-toe-waarschuw-mensen-in-uw-omgeving-met-kijktip.html.

In Noord-Korea kun je er niet van op aan dat als er bijv. IKEA op een pand staat, dat het om een authentieke IKEA gaat (zie https://infosec.exchange/@ErikvanStraten/114273519360019312). Echter, als er in Nederland "ABN-Amro" op een pand in het centrum staat, is de kans dat het om nep gaat, zeer klein.

Lastig te vervalsen fysieke locatie: de vergeten vorm van authenticatie.

In de eerste plaats is het wensdenken van een totaal falende politiek. Ik heb het proces destijds niet gevolgd, maar hoe is het mogelijk dat de Tweede, en vooral de Eerste, Kamer wetten introduceren zonder over de implementatie, effectiviteit, risico's voor burgers, proportionaliteit en uitvoerbaarheid na te denken?

Die flutwet verplichte banken om klanten te authenticeren. Dus hebben banken een maas in die wet (zeg maar gerust een gapend gat) opgezocht dat zo goedkoop mogelijk is voor hen en de risico's bij de uitvoering volledig bij hun klanten legt.

Én waarbij terrorisme-financiering eerder wordt gefaciliteerd dan bemoeilijkt.

Dat het om onnodige gegevens gaat is een aanname daar er niet staat wat er berwerkt is op de kopie.
De stelling dat de klant al jaren bij klant is van de bank zegt net zo min iets, deze wettelijke vereiste is iets waar de bank gewoon aan zal moeten voldoen om bank te kunnen blijven niet omdat ze het zelf zo leuk vinden. De banken zelf zaten er ook niet om te springen om wat deze wetgeving betreft een soort verkapte opsporingsorganisatie te worden.
De optie is natuurlijk overstappen naar een andere bank maar helaas voor de klant moet iedere europese bank aan deze vereiste voldoen dus dat gaat niet echt iets opleveren. Er is natuurlijk ook een optie om fysieke verificatie te doen door iemand bij de klant langs te sturen maar de volgende klacht zal dan het prijskaartje worden.
Fysieke verificatie bij de bank zelf is een optie maar daar zal het document vervolgens (onbewerkt) in worden gescand.
Dus iedereen is nu boos op de bank omdat die zich aan de wet moet houden en niet op de wetgever die de eis stelt.

Hoezo wordt er uberhaubt in 2025 nog steeds kopieen opgeslagen? Laat iemand zich gewoon met DigiD identificeren i.p.v. het ongelooflijk ouderwetse idee dat iedere bank (of andere instelling) afzonderlijk specialistische kennis in huis moet hebben om ID bewijzen te toetsen, persoonsgegevens veilig op te slaan. Fantastisch dat 4 banken van mij een kopie van mijn paspoort ergens hebben opgeslagen. We weten allemaal dat ze ooit gehackt gaan worden.

@Anoniem op 04-04-2025 om 06:02.

Het klopt allemaal wat je schrijft. Je vat het goed samen in deze twee zinnen:


Wie een bankrekening wil openen of behouden, verliest in Nederland cruciale privacy-rechten in zijn relatie als burger tot de bank. In feite wordt de relatie van de burger met de bank juridisch niet langer behandeld als een zakelijke relatie tussen een persoon en een bedrijf, maar wordt de bank onderdeel van de privésfeer van de betreffende burger. Een gehuwde burger met een partner en een bankrekening pleegt in feite bigamie: hij is getrouwd met zijn partner èn met de bank.

Als je dat intieme huwelijk met de bank niet aangaat, kun je in de praktijk niet maatschappelijk participeren. Want dat gaat tegenwoordig niet meer zonder bankrekening.

De bank heeft volgens de huidige wetsinterpretatie een "gerechtvaardigd belang" om de privésfeer van rekeninghouders binnen te dringen en hen aldus administratief en mentaal te verkrachten.

Dit is natuurlijk walgelijk en mensonwaardig. Maar zo hebben de machthebbers het in Nederland (en elders in de EU) wel juridisch geregeld. Daarbij hebben ze artikel 8 van het EVRM genegeerd, door het begrip "noodzakelijk in een democratische samenleving" (tweede lid van dat artikel) op zo'n absurde wijze op te rekken, dat je net zo goed kunt zeggen dat het 24/7 dragen van een elektronische enkelband met je biometrische gegevens "noodzakelijk is in een democratische samenleving". Of dat het 24/7 monitoren van de conditie van jouw lichaamsorganen, met het oog op eventuele toekomstige, onvrijwillige transplantatie naar personen bij wie die organen meer Qaly's (Quality Adjusted Life Years) zouden "opleveren", eveneens "noodzakelijk is in een democratische samenleving".

We zien hier de consequentie van een ver doorgevoerd "legalisme". Ooit, meer dan tweeduizend jaar geleden, werd het legalisme door de eerste, zeer dictatoriale en technische vooruitstrevende Chinese keizer (Qin Shi Huangdi - 259-210 v. Chr.) in zijn hele rijk ingevoerd. Legalisme hoeft dus absoluut niet gepaard te gaan met enige vorm van democratie en ook niet met mensenrechten.

In de afgelopen halve eeuw heeft het legalisme in Nederland en andere Westerse "democratieën" een sterke opkomst gekend. Materiële (inhoudelijke) rechten werden steeds vaker naar de achtergrond gedrukt en vervangen door procedurele (papieren) rechten.

We leven in Nederland en de EU, in onze verhouding tot de overheid, niet meer in een functionerende rechtsstaat, alleen nog in een nominale rechtsstaat (de uiterlijke facade van een rechtsstaat). Om van "democratie" nog maar te zwijgen. We leven als het ware weer in de tijd van Qin Shi Huangdi - maar dan in een moderne, fysiek "softere" verpakking.


Praktisch-legalistisch gezien klopt dat. Dit is hoe de wet (de AVG) door rechters en toezichthouders wordt geïntepreteerd. Maar het vereiste in diezelfde wet dat de noodzaak van gegevensverwerking aantoonbaar moet zijn (artikel 5 AVG), in combinatie met het eerder genoemde artikel 8, tweede lid EVRM, is hiermee wel betekenisloos gemaakt. Opnieuw: de rechtsstaat is op dit punt de facto afgeschaft.


Als het alternatief is dat je GEEN bankrekening hebt, dan is dat alternatief voor 99,999% van de Nederlanders niet leefbaar. In feite word je als Nederlander dus gechanteerd en gedwongen om je persoonsgegevens te verstrekken aan een bank, ongeacht of je die nu vertrouwt of niet.

Ik ben niet in paniek. Ook wie in een dictatuur leeft, hoeft niet in paniek te raken. In Rusland en Noord-Korea zijn de meeste mensen bijvoorbeeld ook niet in paniek.

Maar als er ooit een politieke beweging komt die er serieus naar streeft om afscheid te nemen van het huidige, ondemocratische en onrechtsstatelijke techno-regime en alsnog weer te komen tot een democratische rechtsstaat, dan zal ik zeker overwegen daar mijn steun aan te geven.

Eén van de eerste dingen die die beweging van mij dan zou mogen doen, is opnieuw een scheiding bewerkstellingen tussen bank en staat. Want de huidige vermenging van die twee is minstens even schadelijk als de vroegere vermenging van kerk en staat.

M.J.