Creditmaatschappij ICS wil een klant via digitale weg identificeren. Daarvoor eist ICS dat de klant een volledig leesbare en onbeschreven foto van zijn identiteitsbewijs uploadt. De klant weigert dat. ICS biedt twee alternatieven aan: identifica- tie door een notaris en identificatie aan huis door een medewerker van ICS. De klant wijst dit echter af omdat bij beide alternatieven gebruik wordt gemaakt van een scanner en hij bang is voor identiteitsfraude.De klant wil uitsluitend in persoon geïdentificeerd worden door vergelijking met zijn identiteitsbewijs.
Of hij wil een door hem gewaarmerkte kopie van zijn identiteitsbewijs verstrekken. De klant vraagt de rechter onder meer voor recht te verklaren dat ICS niet aan identificatie met behulp van een scanner mag vasthouden en de relatie niet mag opzeggen vanwege zijn weigering. Daarbij beroept hij zich op informatie op de website van de Autoriteit Persoonsgegevens.
Innovatieve oplossingen
De rechter wijst de vorderingen van de klant af. De verplichting van ICS tot het identificeren en verifiëren van haar klanten vloeit voort uit artikel 3 en 38 van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). Toegestane middelen om de identiteit te verifiëren zijn bij natuurlijke personen de traditionele identiteitsdocumenten (bijvoorbeeld een paspoort, een rijbewijs of een nationale identiteitskaart). Hoe deze documenten moeten worden geverifieerd, staat niet in de Wwft, maar is aan de instellingen zelf overgelaten. Dat een identificatie op afstand of langs elektronische weg kan plaatsvinden, vindt zijn grondslag in artikel 13 van de gewijzigde vierde Europese anti-witwasrichtlijn (Richtlijn (EU) 2018/843) en artikel 4 lid 1 sub h van de Uitvoeringsregeling.
Het gebruik van elektronische identificatiemiddelen wordt ook vermeld in de Leidraad Wwft en Sanctiewet van de Autoriteit Financiële Markten (AFM) van 19 oktober 2020. Hieruit volgt dat het instellingen vrij staat om innovatieve oplossingen te bedenken voor de verificatie van de identiteit van klanten. Deze bestaan bijvoorbeeld uit verificatie van de identiteit van klanten die niet in persoon aanwezig zijn via verschillende draagbare apparaten zoals smartphones. De laatste technologische ontwikkelingen op het gebied van de digitalisering van transacties en betalingen maken een veilige identificatie op afstand of langs elektronische weg mogelijk.
Daarnaast is het gebruik van elektronische identificatiemiddelen niet zonder waarborgen. Zo schrijft de Leidraad Wwft en Sanctiewet van de AFM van 19 oktober 2020 onder meer voor dat instellingen over de juiste technische vaardigheden moeten beschikken om toezicht te houden op de juiste implementatie. Ook moeten ze voldoende kennis hebben van innovatieve oplossingen.
Geen recht op fysieke identificatie
Uit de Wwft vloeit voor de klant niet het recht op fysieke identificatie voort. Ook in de door de Wwft gegeven alternatieve wijzen van identificatie moet het identiteitsbewijs op echtheid worden gecontroleerd. Deze controle op echtheid vindt het veiligst plaats door middel van een scanner en de echtheid kan alleen worden vastgesteld als alle daarvoor bedoelde kenmerken op het identiteitsbewijs goed uit te lezen zijn. Dat is niet het geval bij een kopie van het identiteitsbewijs dat door de klant is gewaarmerkt.
Ook een fysieke identificatie bij de notaris biedt de klant geen soelaas, aangezien de notaris sinds 1 oktober 2021 verplicht is tot digitale identificatie op grond van de Verordening gebruik WID Scanner bij notariskantoren. Dit houdt in dat de notaris de echtheid van het identiteitsbewijs moet vaststellen met een scanner. De notaris heeft, net zoals banken en instellingen, een poortwachtersrol. Daarom vond de KNB het wenselijk dat notarissen bij de identificatie van klanten de best beschikbare middelen gebruiken: de WID-scanner. De notaris noch ICS kan worden verplicht een mogelijkheid te bieden voor een niet-digitale identificatie- en verificatieprocedure.
Gegevensverwerking
Zowel het maken en beoordelen van een foto of scan van het identiteitsbewijs in het kader van de identificatie- en verificatieplicht als het vastleggen en bewaren daarvan als bewijs in het kader van de bewaarplicht, zijn te kwalificeren als 'verwerking' van persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming. De identificatie- en verificatieplicht vindt zijn wettelijke grondslag in artikel 3 en 38 Wwft. Artikel 33 Wwft bepaalt dat een instelling gegevens voor het klantenonderzoek op opvraagbare wijze moet vastleggen en bewaren. Lid 1 onder a schrijft onder meer voor dat het moet gaan om een afschrift van het document dat een persoon identificerend nummer bevat en aan de hand waarvan de verificatie van de identiteit heeft plaatsgevonden. Op grond van deze bepaling en artikel 3 Wwft moet van dit op echtheid gecontroleerde identiteitsbewijs een afschrift worden opgeslagen, zodat ICS kan bewijzen dat zij de Wwft heeft nageleefd. Daarom kan niet van ICS worden verlangd dat zij een door de klant gewaarmerkte of beschreven kopie van het identiteitsbewijs accepteert.
Niet duidelijk
De vermeldingen op de website van de Autoriteit Persoonsgegevens leiden niet tot een andere conclusie. Deze vermeldingen hebben in de eerste plaats geen kracht van wet. Daarnaast zijn deze teksten niet altijd even duidelijk. Aan de ene kant blijkt uit die website dat een instelling een beschreven kopie van het identiteitsbewijs niet mag weigeren, maar aan de andere kant is te lezen dat een bank, creditcardmaatschappij of notaris zelf een volledige kopie of scan mag maken van het identiteitsbewijs. Wat hier verder ook van zij, de Autoriteit Persoonsgegevens is op de hoogte van de methode van ICS en heeft gebruikmaking daarvan kennelijk niet verboden. De rechter concludeert dat ICS de relatie met de klant mag opzeggen als die volhardt in zijn weigering om mee te werken aan identificatie op een van de door ICS voorgeschreven wijzen (rechtbank Amsterdam 11 januari 2023, ECLI:NL:RBAMS:2023:145).