Zakelijk, Arbeid, Schade
Particulier
Aanleiding tot mijn vraag:
Mijn vraag betreft de rechten en plichten inzake identificatieplicht en bezwaar tegen het maken van papieren of digitale kopieën van het legitimatiebewijs bij banken.
Ik ben in het verleden slachtoffer geweest van identiteitsfraude dat uiteindelijk geleid heeft tot een rechtszaak, welke overigens door mij gewonnen werd. De impact van identiteitsfraude is zeer ingrijpend. Sindsdien ben ik uiterst alert bij het tonen van een legitimatiebewijs dat daarvan niet een door mij ongewilde kopie wordt gemaakt. Datzelfde geldt voor het betalen met mijn credit card.
Een aantal jaren geleden ontving ik van de ING-bank een verzoek om mijn identiteit opnieuw vast te laten stellen. Op een van de kantoren wilde men een kopie van mijn legitimatiebewijs maken. Ik heb dat niet toegestaan. Ik heb mijn standpunt daarin kenbaar gemaakt. Daarna werd mijn identiteit vastgesteld aan de hand van het identiteitsbewijs ZONDER dat er een kopie van werd gemaakt.
Van ABN-AMRO bank heb ik een dergelijk verzoek nimmer ontvangen, ondanks dat ik ook bij die bank al meer dan 30 jaar een aantal rekeningen heb. Echter, in een bijkantoor van de bank werd stelselmatig voor elke wijziging of aanvulling op het “dienstenpakket”, maar ook voor elk wissewasje, zelfs bij handmatige betalingsopdrachten, mijn legitimatiebewijs gevraagd en daarvan een kopie gemaakt. Tot ik daartegen protesteerde. De bank had al tientallen scans in het computersysteem staan. Na vele soms verhitte discussies is van het maken van een kopie daarna afgezien.
Voor ontvangsten van de Belastingdienst moet mijn levenspartner een eigen bankrekening hebben om geld van de Belastingdienst terugbetaald te krijgen. Daartoe hebben wij besloten een op mijn naam staande bankrekening bij ABN-AMRO om te laten zetten in een en/of-rekening. Dat wilden wij zo snel mogelijk regelen om de terugbetaling niet onnodig te vertragen. Om dat te regelen moet van tevoren een afspraak worden gemaakt. Op het bijkantoor waar ik doorgaans gebruik van maak, kon de afspraak pas een week later plaatsvinden. Dat kon wel eerder op een ander kantoor dat verder weg ligt en onnodig kosten en reistijd met zich meebracht. Leve de “klantgerichtheid”. De klant staat niet centraal, zoals wel steevast wordt verkondigd, maar de bank die wij als belastingbetalers met ons belastinggeld hebben gered van de ondergang.
Voordat wij samen naar het verder weg liggende kantoor gingen, heb ik een duidelijke kopie gemaakt van het identiteitsbewijs van mijn partner met daaroverheen een watermerk met de tekst ‘Uitsluitend bestemd voor identificatie door ABN-AMRO.’ Uiteraard hebben wij het benodigde legitimatiebewijs ter controle op echtheid en identificatie van mijn partner ook meegenomen. Ten kantore werd daarmee geen genoegen genomen. Wederom ontstond een discussie over de toelaatbaarheid van het kopiëren van legitimatiebewijzen. Met het tonen van het legitimatiebewijs ter controle van de echtheid en de persoon heb ik mijns inziens aan mijn wettelijke plicht voldaan. Daar bovenop hebben wij een zeer duidelijke kopie van het legitimatiebewijs overhandigd met het watermerk dat de kopie uitsluitend bestemd is ter identificatie en verificatie van mijn partner door de bank.
De bankmedewerkster (die nog geboren moest worden toen ik mijn rekening bij de bank opende, maar dat terzijde) was onverbiddelijk. Daarop vroeg ik de manager te spreken. Dat kon. Even later kwam zij terug in gezelschap van een dame die enkel bij de ingang ons (en ook andere mensen) vroeg waar wij (en zij) voor kwamen. Een gastvrouw bij de bank noemt men dat. Zij noemde zich nu de “plaatsvervangende manager”. Al snel bleek dat deze dame geen enkele beslissingsbevoegdheid had en ook niets anders vertelde dan wat de regels van de bank zijn. Enig gehoor voor de achtergrond van mijn standpunt, anders dan “wat vervelend voor u” kreeg ik niet. Men zou het intern bespreken en ik zou de volgende dag gebeld worden voor een “oplossing”. De hele dag gewacht, maar geen telefoontje van de bank. Leve de “klantgerichtheid”. Pas na 18.00 uur onder etenstijd werd ik door weer een andere dame van de bank gebeld die zich voorstelde als adjunct-directeur. Een oplossing kreeg ik niet zoals ik al verwachtte. Toen ik opmerkte dat ik de hele dag had gewacht op het telefoontje kreeg ik als antwoord: “ik bel nu toch?” Leve de “klantgerichtheid.” Ik heb duidelijk de indruk dat De Bank de verkeerde mensen heeft ontslagen, maar ook dat terzijde.
Ook werd gepoogd ons voor de gek te houden door te stellen dat er geen kopie van het paspoort zou worden gemaakt maar een scan. Alleen een dummy trapt daar in. Een scan is immers niets anders dan een elektronische kopie die bovendien op papier kan worden geprint, net zoals wij hebben gedaan. Er is geen verschil tussen een elektronische en een papieren kopie.
Wat hebben wij tegen het maken van een scan? Een papieren kopie kan in een ordner in de archiefkast worden bewaard. Alleen een bevoegde medewerker van de bank, mits die een sleutel van de kast heeft, kan daarbij. De “dader” van diefstal van een of meerdere gekopieerde identiteitsbewijzen is dan vrij zeker te identificeren. Het computersysteem van de bank kan echter gehackt worden. Dat kan rechtstreeks vanuit elk ander land in deze wereld en dat kan via proxy-servers “all over the World”. Geen enkel bedrijf of (overheids)instelling kan garanderen dat hun systeem niet gehackt kan worden. ABN-AMRO vormt daarin geen uitzondering. In het geval van hacking kunnen onze persoonlijke gegevens (de scan) “op straat liggen”, met alle gevolgen van dien, zoals identiteitsfraude.
Het Ministerie van Veiligheid en Justitie heeft een informatieblad gepubliceerd op haar website. Daarin wordt een en ander beschreven over de Identificatieplicht. Onder punt 3 staat dat politie en marechaussee en (ambtelijke) toezichthouders bij de uitoefening van hun taak om een identiteitsbewijs mogen vragen en alleen als daar een reden voor is en binnen hun eigen werkgebied. Personeelsleden van beveiligingsbedrijven kunnen niet op grond van de wet op de identificatieplicht vragen om een identiteitsbewijs te tonen (punt 4).
Het College Bescherming Persoonsgegevens (CBP) heeft de CBP Richtsnoeren met subtitel Gebruik van ‘kopietje paspoort’ in de private sector gepubliceerd. Daarin stelt het CBP:
Alertheid is geboden bij het toenemend kopiëren, scannen en uitlezen van identiteitsbewijzen. Dit verschijnsel staat ook wel bekend al ‘kopietje paspoort’. Het onnodig en bovenmatig kopiëren of scannen van deze documenten is niet zonder risico. Door op grote schaal persoonsgegevens te verzamelen neemt het risico van identiteitsfraude toe. Verkeerd gebruik kan ook leiden tot een inbreuk op de persoonlijke levenssfeer die in bestuurlijke of civiele zin verwijtbaar is. Aldus het CBP.
Deze richtsnoeren geven aan welke regels de wet stelt aan het overnemen van persoonsgegevens of het kopiëren, scannen of uitlezen van identiteitsdocumenten. Deze richtsnoeren dienen tevens als uitgangspunt voor het CBP bij het toepassen van handhavende maatregelen.
Verder stelt het CBP dat het vragen om legitimatie alleen zin heeft wanneer de medewerker de echtheid en geldigheid van het identiteitsdocument controleert. Een deugdelijke controle kan alleen plaatsvinden aan de hand van een origineel document, niet een kopie.
Als het laten tonen van een identiteitsdocument volstaat, is het overnemen van gegevens van het identiteitsdocument of het kopiëren, scannen of uitlezen ervan niet toegestaan. Aldus het CBP.
Het CBP geeft een aantal voorbeelden. Voorbeeld 4 betreft Identiteitscontrole bij financiële dienstverlening. De Wet ter voorkoming van witwassen en financiering van terrorisme (WWFT) gaat uit van een ‘risicogeoriënteerde benadering. Een financiële instelling moet zelf inschatten in hoeverre een financiële transactie risico’s met zich meebrengt. Hoe groter dat risico, hoe meer onderzoek naar de (identiteit van de) cliënt wordt vereist. De financiële instelling kan – als bewijs van de identificatieverplichting – daarbij ook een kopie van het gecontroleerde identiteitsdocument vastleggen en gedurende vijf jaar bewaren. Het openen van een betaalrekening of het wijzigen in een en/of-rekening wordt door ABN-AMRO kennelijk gezien als een financiële transactie met een groot risico waarbij mogelijk sprake is van witwassen en financiering van terrorisme.
In deze tijd, waarin contante uitbetalingen of betaalcheques nauwelijks meer voorkomen, zijn wij als burgers gedwongen een bankrekening aan te houden. Bij het simpel registreren van een betaalrekening is niet meer dan een abonnement of lidmaatschap. De grondslag voor het verwerken van persoonsgegevens beperkt zich in deze gevallen tot het overnemen van de meest relevante gegevens. Een ‘kopietje paspoort’ is in geen van deze gevallen nodig en mag niet worden gevraagd (voorbeeld 5). Aldus het CBP.
In gevallen waarbij een contract wordt afgesloten – dat is feitelijk ook bij het openen van een betaalrekening – kan het bedrijf, in dit geval de bank, de aard van het identiteitsdocument en het documentnummer noteren. Het maken van een kopie of scan van zo’n document is echter niet toegestaan. In zeer uitzonderlijke gevallen kan sprake zijn van het overnemen van gegevens van een identiteitsdocument of het kopiëren of scannen ervan. Het bedrijf of organisatie moet de noodzaak daartoe dan wel gedocumenteerd kunnen onderbouwen (voorbeeld 6).
De bank heeft een meldingsplicht aan het CBP voor het verzamelen van persoonsgegevens indien dat verder gaat dat het aanleggen van bv. Een klanten- of ledenbestand. Het maken en verzamelen van ‘kopietje paspoort’ is daarvan niet vrijgesteld (punt 3.1). De bank moet iedere klant (betrokkenen genoemd) waarvan zij persoonsgegevens verzameld adequaat informeren over het doel en de toelaatbaarheid daarvan. Dat betekent dat de bank ook informatie verstrekt aan betrokkenen over de rechten op inzage, correctie en verzet. Met verwijzing naar een ‘standaardprocedure’ of het ‘hoofdkantoor’ wordt niet aan de informatieplicht voldaan (punt 3.2).
De bank moet persoonsgegevens aan de hand van een origineel identiteitsdocument op echtheid en geldigheid controleren, zodat de gegevens juist en nauwkeurig worden vastgelegd. Het doel daarvan is om fouten, misverstanden en misbruik – zoals identiteitsfraude – te voorkomen. De bank mag niet meer persoonsgegevens verzamelen en gebruiken dan nodig voor het doel waarvoor deze worden verzameld (punt 3.3).
De bank moet verzamelde persoonsgegevens organisatorisch en technisch beveiligen tegen verlies, diefstal en ander onrechtmatig gebruik, zoals identiteitsfraude. Voorkomen moet worden dat gegevens toegankelijk zijn voor onbevoegden (punt 3.4).
Een BSN-nummer en pasfoto zijn ‘verboden’ persoonsgegevens. Bij het vragen om een legitimatie moet de bank zich houden aan het verbod op het verzamelen en gebruiken van deze gegevens. Als geen uitzondering bestaat op het verbod, moeten bij het maken van een kopie of scan altijd deze gegevens worden afgeschermd of onleesbaar worden gemaakt. Aldus het CBP.
De feiten:
Mijn partner heeft getoond haar geldig paspoort en overhandigd een zeer duidelijke papieren kopie daarvan met een watermerk met de tekst dat de kopie uitsluitend bestemd is ter identificatie door de bank. Mijns inziens heeft zij meer getoond en overgelegd dan zij wettelijk verplicht is.
De bank heeft de noodzaak van het kopiëren of scannen van het identiteitsdocument niet gedocumenteerd onderbouwd (voorbeeld 6).
De bank heeft ons niet geïnformeerd over het doel en de toelaatbaarheid van het kopiëren of scannen van het identificatiedocument, noch over ons recht op inzage, correctie en verzet. Met haar verwijzing naar bankregels (door het hoofdkantoor opgelegd) is niet voldaan aan de informatieplicht (punt 3.2).
De bank heeft niet aangetoond dat de (te verzamelen) persoonsgegevens nodig zijn voor het doel waarvoor deze worden verzameld (punt 3.3).
De bank heeft op geen enkele wijze aangegeven dat het computersysteem waarin onze persoonsgegevens worden opgeslagen, veilig is tegen hacken. Mijn opmerking dat geen enkel computersysteem veilig is tegen hacken en dat elk systeem gehackt kan worden, werd niet tegengesproken. (punt 3.4).
De bank wil zelf een complete kopie of scan maken van het identiteitsdocument inclusief de pasfoto en het BSN-nummer terwijl de bank niet heeft aangetoond dat daar de noodzaak toe is.
Uiteindelijk hebben we voorgesteld dat we akkoord gaan met het scannen van het identiteitsdocument indien de bank daarbij schriftelijk aansprakelijkheid aanvaardt indien de scan tot misbruik leidt. Dat wilde de bank NIET.
Mijn vraag:
Ik ben geen jurist. Ik ben wel slachtoffer geweest van identiteitsfraude. Ik ben mede daardoor een kritische consument. Ik slik niet zomaar alles voor koek en ei wat mij verteld wordt. Uit de informatie die ik op de website van het Ministerie van Veiligheid en Justitie en de website van het College Bescherming Persoonsgegevens heb gevonden, blijkt mijns inziens dat de bank niet gerechtigd is een ‘kopietje paspoort’ te maken. Is dit juist of heb ik het mis. Heeft de bank meer bevoegdheden dan ik lees of overtreedt de bank haar bevoegdheden.
Mijn vraag betreft de rechten en plichten inzake identificatieplicht en bezwaar tegen het maken van papieren of digitale kopieën van het legitimatiebewijs bij banken.
Ik ben in het verleden slachtoffer geweest van identiteitsfraude dat uiteindelijk geleid heeft tot een rechtszaak, welke overigens door mij gewonnen werd. De impact van identiteitsfraude is zeer ingrijpend. Sindsdien ben ik uiterst alert bij het tonen van een legitimatiebewijs dat daarvan niet een door mij ongewilde kopie wordt gemaakt. Datzelfde geldt voor het betalen met mijn credit card.
Een aantal jaren geleden ontving ik van de ING-bank een verzoek om mijn identiteit opnieuw vast te laten stellen. Op een van de kantoren wilde men een kopie van mijn legitimatiebewijs maken. Ik heb dat niet toegestaan. Ik heb mijn standpunt daarin kenbaar gemaakt. Daarna werd mijn identiteit vastgesteld aan de hand van het identiteitsbewijs ZONDER dat er een kopie van werd gemaakt.
Van ABN-AMRO bank heb ik een dergelijk verzoek nimmer ontvangen, ondanks dat ik ook bij die bank al meer dan 30 jaar een aantal rekeningen heb. Echter, in een bijkantoor van de bank werd stelselmatig voor elke wijziging of aanvulling op het “dienstenpakket”, maar ook voor elk wissewasje, zelfs bij handmatige betalingsopdrachten, mijn legitimatiebewijs gevraagd en daarvan een kopie gemaakt. Tot ik daartegen protesteerde. De bank had al tientallen scans in het computersysteem staan. Na vele soms verhitte discussies is van het maken van een kopie daarna afgezien.
Voor ontvangsten van de Belastingdienst moet mijn levenspartner een eigen bankrekening hebben om geld van de Belastingdienst terugbetaald te krijgen. Daartoe hebben wij besloten een op mijn naam staande bankrekening bij ABN-AMRO om te laten zetten in een en/of-rekening. Dat wilden wij zo snel mogelijk regelen om de terugbetaling niet onnodig te vertragen. Om dat te regelen moet van tevoren een afspraak worden gemaakt. Op het bijkantoor waar ik doorgaans gebruik van maak, kon de afspraak pas een week later plaatsvinden. Dat kon wel eerder op een ander kantoor dat verder weg ligt en onnodig kosten en reistijd met zich meebracht. Leve de “klantgerichtheid”. De klant staat niet centraal, zoals wel steevast wordt verkondigd, maar de bank die wij als belastingbetalers met ons belastinggeld hebben gered van de ondergang.
Voordat wij samen naar het verder weg liggende kantoor gingen, heb ik een duidelijke kopie gemaakt van het identiteitsbewijs van mijn partner met daaroverheen een watermerk met de tekst ‘Uitsluitend bestemd voor identificatie door ABN-AMRO.’ Uiteraard hebben wij het benodigde legitimatiebewijs ter controle op echtheid en identificatie van mijn partner ook meegenomen. Ten kantore werd daarmee geen genoegen genomen. Wederom ontstond een discussie over de toelaatbaarheid van het kopiëren van legitimatiebewijzen. Met het tonen van het legitimatiebewijs ter controle van de echtheid en de persoon heb ik mijns inziens aan mijn wettelijke plicht voldaan. Daar bovenop hebben wij een zeer duidelijke kopie van het legitimatiebewijs overhandigd met het watermerk dat de kopie uitsluitend bestemd is ter identificatie en verificatie van mijn partner door de bank.
De bankmedewerkster (die nog geboren moest worden toen ik mijn rekening bij de bank opende, maar dat terzijde) was onverbiddelijk. Daarop vroeg ik de manager te spreken. Dat kon. Even later kwam zij terug in gezelschap van een dame die enkel bij de ingang ons (en ook andere mensen) vroeg waar wij (en zij) voor kwamen. Een gastvrouw bij de bank noemt men dat. Zij noemde zich nu de “plaatsvervangende manager”. Al snel bleek dat deze dame geen enkele beslissingsbevoegdheid had en ook niets anders vertelde dan wat de regels van de bank zijn. Enig gehoor voor de achtergrond van mijn standpunt, anders dan “wat vervelend voor u” kreeg ik niet. Men zou het intern bespreken en ik zou de volgende dag gebeld worden voor een “oplossing”. De hele dag gewacht, maar geen telefoontje van de bank. Leve de “klantgerichtheid”. Pas na 18.00 uur onder etenstijd werd ik door weer een andere dame van de bank gebeld die zich voorstelde als adjunct-directeur. Een oplossing kreeg ik niet zoals ik al verwachtte. Toen ik opmerkte dat ik de hele dag had gewacht op het telefoontje kreeg ik als antwoord: “ik bel nu toch?” Leve de “klantgerichtheid.” Ik heb duidelijk de indruk dat De Bank de verkeerde mensen heeft ontslagen, maar ook dat terzijde.
Ook werd gepoogd ons voor de gek te houden door te stellen dat er geen kopie van het paspoort zou worden gemaakt maar een scan. Alleen een dummy trapt daar in. Een scan is immers niets anders dan een elektronische kopie die bovendien op papier kan worden geprint, net zoals wij hebben gedaan. Er is geen verschil tussen een elektronische en een papieren kopie.
Wat hebben wij tegen het maken van een scan? Een papieren kopie kan in een ordner in de archiefkast worden bewaard. Alleen een bevoegde medewerker van de bank, mits die een sleutel van de kast heeft, kan daarbij. De “dader” van diefstal van een of meerdere gekopieerde identiteitsbewijzen is dan vrij zeker te identificeren. Het computersysteem van de bank kan echter gehackt worden. Dat kan rechtstreeks vanuit elk ander land in deze wereld en dat kan via proxy-servers “all over the World”. Geen enkel bedrijf of (overheids)instelling kan garanderen dat hun systeem niet gehackt kan worden. ABN-AMRO vormt daarin geen uitzondering. In het geval van hacking kunnen onze persoonlijke gegevens (de scan) “op straat liggen”, met alle gevolgen van dien, zoals identiteitsfraude.
Het Ministerie van Veiligheid en Justitie heeft een informatieblad gepubliceerd op haar website. Daarin wordt een en ander beschreven over de Identificatieplicht. Onder punt 3 staat dat politie en marechaussee en (ambtelijke) toezichthouders bij de uitoefening van hun taak om een identiteitsbewijs mogen vragen en alleen als daar een reden voor is en binnen hun eigen werkgebied. Personeelsleden van beveiligingsbedrijven kunnen niet op grond van de wet op de identificatieplicht vragen om een identiteitsbewijs te tonen (punt 4).
Het College Bescherming Persoonsgegevens (CBP) heeft de CBP Richtsnoeren met subtitel Gebruik van ‘kopietje paspoort’ in de private sector gepubliceerd. Daarin stelt het CBP:
Alertheid is geboden bij het toenemend kopiëren, scannen en uitlezen van identiteitsbewijzen. Dit verschijnsel staat ook wel bekend al ‘kopietje paspoort’. Het onnodig en bovenmatig kopiëren of scannen van deze documenten is niet zonder risico. Door op grote schaal persoonsgegevens te verzamelen neemt het risico van identiteitsfraude toe. Verkeerd gebruik kan ook leiden tot een inbreuk op de persoonlijke levenssfeer die in bestuurlijke of civiele zin verwijtbaar is. Aldus het CBP.
Deze richtsnoeren geven aan welke regels de wet stelt aan het overnemen van persoonsgegevens of het kopiëren, scannen of uitlezen van identiteitsdocumenten. Deze richtsnoeren dienen tevens als uitgangspunt voor het CBP bij het toepassen van handhavende maatregelen.
Verder stelt het CBP dat het vragen om legitimatie alleen zin heeft wanneer de medewerker de echtheid en geldigheid van het identiteitsdocument controleert. Een deugdelijke controle kan alleen plaatsvinden aan de hand van een origineel document, niet een kopie.
Als het laten tonen van een identiteitsdocument volstaat, is het overnemen van gegevens van het identiteitsdocument of het kopiëren, scannen of uitlezen ervan niet toegestaan. Aldus het CBP.
Het CBP geeft een aantal voorbeelden. Voorbeeld 4 betreft Identiteitscontrole bij financiële dienstverlening. De Wet ter voorkoming van witwassen en financiering van terrorisme (WWFT) gaat uit van een ‘risicogeoriënteerde benadering. Een financiële instelling moet zelf inschatten in hoeverre een financiële transactie risico’s met zich meebrengt. Hoe groter dat risico, hoe meer onderzoek naar de (identiteit van de) cliënt wordt vereist. De financiële instelling kan – als bewijs van de identificatieverplichting – daarbij ook een kopie van het gecontroleerde identiteitsdocument vastleggen en gedurende vijf jaar bewaren. Het openen van een betaalrekening of het wijzigen in een en/of-rekening wordt door ABN-AMRO kennelijk gezien als een financiële transactie met een groot risico waarbij mogelijk sprake is van witwassen en financiering van terrorisme.
In deze tijd, waarin contante uitbetalingen of betaalcheques nauwelijks meer voorkomen, zijn wij als burgers gedwongen een bankrekening aan te houden. Bij het simpel registreren van een betaalrekening is niet meer dan een abonnement of lidmaatschap. De grondslag voor het verwerken van persoonsgegevens beperkt zich in deze gevallen tot het overnemen van de meest relevante gegevens. Een ‘kopietje paspoort’ is in geen van deze gevallen nodig en mag niet worden gevraagd (voorbeeld 5). Aldus het CBP.
In gevallen waarbij een contract wordt afgesloten – dat is feitelijk ook bij het openen van een betaalrekening – kan het bedrijf, in dit geval de bank, de aard van het identiteitsdocument en het documentnummer noteren. Het maken van een kopie of scan van zo’n document is echter niet toegestaan. In zeer uitzonderlijke gevallen kan sprake zijn van het overnemen van gegevens van een identiteitsdocument of het kopiëren of scannen ervan. Het bedrijf of organisatie moet de noodzaak daartoe dan wel gedocumenteerd kunnen onderbouwen (voorbeeld 6).
De bank heeft een meldingsplicht aan het CBP voor het verzamelen van persoonsgegevens indien dat verder gaat dat het aanleggen van bv. Een klanten- of ledenbestand. Het maken en verzamelen van ‘kopietje paspoort’ is daarvan niet vrijgesteld (punt 3.1). De bank moet iedere klant (betrokkenen genoemd) waarvan zij persoonsgegevens verzameld adequaat informeren over het doel en de toelaatbaarheid daarvan. Dat betekent dat de bank ook informatie verstrekt aan betrokkenen over de rechten op inzage, correctie en verzet. Met verwijzing naar een ‘standaardprocedure’ of het ‘hoofdkantoor’ wordt niet aan de informatieplicht voldaan (punt 3.2).
De bank moet persoonsgegevens aan de hand van een origineel identiteitsdocument op echtheid en geldigheid controleren, zodat de gegevens juist en nauwkeurig worden vastgelegd. Het doel daarvan is om fouten, misverstanden en misbruik – zoals identiteitsfraude – te voorkomen. De bank mag niet meer persoonsgegevens verzamelen en gebruiken dan nodig voor het doel waarvoor deze worden verzameld (punt 3.3).
De bank moet verzamelde persoonsgegevens organisatorisch en technisch beveiligen tegen verlies, diefstal en ander onrechtmatig gebruik, zoals identiteitsfraude. Voorkomen moet worden dat gegevens toegankelijk zijn voor onbevoegden (punt 3.4).
Een BSN-nummer en pasfoto zijn ‘verboden’ persoonsgegevens. Bij het vragen om een legitimatie moet de bank zich houden aan het verbod op het verzamelen en gebruiken van deze gegevens. Als geen uitzondering bestaat op het verbod, moeten bij het maken van een kopie of scan altijd deze gegevens worden afgeschermd of onleesbaar worden gemaakt. Aldus het CBP.
De feiten:
Mijn partner heeft getoond haar geldig paspoort en overhandigd een zeer duidelijke papieren kopie daarvan met een watermerk met de tekst dat de kopie uitsluitend bestemd is ter identificatie door de bank. Mijns inziens heeft zij meer getoond en overgelegd dan zij wettelijk verplicht is.
De bank heeft de noodzaak van het kopiëren of scannen van het identiteitsdocument niet gedocumenteerd onderbouwd (voorbeeld 6).
De bank heeft ons niet geïnformeerd over het doel en de toelaatbaarheid van het kopiëren of scannen van het identificatiedocument, noch over ons recht op inzage, correctie en verzet. Met haar verwijzing naar bankregels (door het hoofdkantoor opgelegd) is niet voldaan aan de informatieplicht (punt 3.2).
De bank heeft niet aangetoond dat de (te verzamelen) persoonsgegevens nodig zijn voor het doel waarvoor deze worden verzameld (punt 3.3).
De bank heeft op geen enkele wijze aangegeven dat het computersysteem waarin onze persoonsgegevens worden opgeslagen, veilig is tegen hacken. Mijn opmerking dat geen enkel computersysteem veilig is tegen hacken en dat elk systeem gehackt kan worden, werd niet tegengesproken. (punt 3.4).
De bank wil zelf een complete kopie of scan maken van het identiteitsdocument inclusief de pasfoto en het BSN-nummer terwijl de bank niet heeft aangetoond dat daar de noodzaak toe is.
Uiteindelijk hebben we voorgesteld dat we akkoord gaan met het scannen van het identiteitsdocument indien de bank daarbij schriftelijk aansprakelijkheid aanvaardt indien de scan tot misbruik leidt. Dat wilde de bank NIET.
Mijn vraag:
Ik ben geen jurist. Ik ben wel slachtoffer geweest van identiteitsfraude. Ik ben mede daardoor een kritische consument. Ik slik niet zomaar alles voor koek en ei wat mij verteld wordt. Uit de informatie die ik op de website van het Ministerie van Veiligheid en Justitie en de website van het College Bescherming Persoonsgegevens heb gevonden, blijkt mijns inziens dat de bank niet gerechtigd is een ‘kopietje paspoort’ te maken. Is dit juist of heb ik het mis. Heeft de bank meer bevoegdheden dan ik lees of overtreedt de bank haar bevoegdheden.
Dit is een heel lang en ingewikkeld verhaal. De bank is idd. verplicht om een id-bewijs te vragen om iemands identiteit vast te leggen. Helaas kan ik u hier niet zo een direct en passend antwoord op geven en zou ook ik mij in moeten verdiepen. Helaas kan dit niet kosteloos. Mocht u verdere hulp en of advies wensen, mag u gerust contact met mij opnemen. Maar een partij die er alles over kan vertellen is de Autoriteit persoonsgegevens. Het voormalig College Bescherming Persoonsgegevens. Ook zij zijn de autoriteit die handhaaft als een partij zich niet aan de wet en regelgeving houdt.