Her-identificatie actie banken

- Overzicht  her-identificatie actie van banken

- Niet het identificeren maar de opslag van persoonsgegevens was inzet

- Discrepantie standpunt CBP en de Wet Bescherming Persoonsgegevens

- Onverkwikkelijke rol College Bescherming Persoonsgegevens in deze kwestie

- Verzet

- Pasfoto's en Burger Service Nummer sleutels tot meer persoonsgegevens

- Relevante wetten

- Relevante adressen

 

overzicht  her-identificatie actie van banken

 

 

Juni 2005 begonnen de grote Nederlandse banken hun klanten aan te schrijven met een oproep om zich zo spoedig mogelijk bij hun bankfiliaal te vervoegen met een geldig identiteitsbewijs, om daar geïdentificeerd te worden en een kopie van het identiteitsbewijs te laten maken.

ABN AMRO nam bij deze grootscheepse actie het initiatief, spoedig gevolgd door Postbank-ING en de Rabobank en Fortis. Kleinere banken, zoals de Triodos Bank, SNS en ASN-bank doen niet mee en voldoen, als vanouds, gewoon als van ouds aan hun wettelijke verplichtingen.

De actie kwam, volgens de banken, voort uit een initiatief van het ministerie van Financiën en toezichthouder De Nederlandsche Bank (DNB) die verscherpt wilden kunnen controleren of de banken konden aantonen dat zij hun klanten op correcte wijze hadden geïdentificeerd. ABM-AMRO:"versneld en met terugwerkende kracht toepassen WID".

Aan de verplichting, om aan te kunnen tonen dat banken nieuwe klanten daadwerkelijk geïdentificeerd hadden was echter niets veranderd, want die verplichting hadden ze vóór het van start gaan van de identificatieactie uiteraard altijd al. Ook veranderde er niets in de voorschriften over de wijze waarop banken mensen moesten identificeren of hoe ze moesten kunnen bewijzen dat ze op correcte wijze de wet toepasten. Kortom de wet veranderde niet, de voorschriften veranderden niet, de toezichthouder bleef dezelfde taak houden, n.l. toezien of banken aan de wettelijke voorschriften voldeden, en het bleef de verantwoordelijkheid van iedere individuele bankinstelling zelf om te bepalen op welke wijze ze aan de wettelijke verplichting voldeden.

Toch startte zomer 2005 een mega actie waarbij de grote banken tientallen miljoenen klanten opriepen om met een geldig identiteitsbewijs persoonlijk naar een bankfiliaal te komen om zich daar te laten identificeren. Om een indruk van de omvang van de actie te krijgen, moet men zich realiseren, dat alleen al de Postbank 7,5 miljoen mensen opriep, dat iedereen die bij meerdere banken bankiert meerdere oproepen kreeg, en er topscores genoteerd zijn van mensen die - omdat ze gevolmachtigd zijn voor minderjarigen en zorgbehoevenden - tot 18x toe bij één en dezelfde bank gesommeerd werden om hun identiteitsgegevens te verstrekken.

Het Algemeen Dagblad berekende aan de hand van onderzoek bij de 5 grootste banken in maart 2007 dat de anderhalf à 2 miljoen mensen die zich niet hadden laten identificeren 5% van het totale aantal opgeroepen klanten vormt. De totale actie omvat daardoor een slordige 40 miljoen oproepen.
Bron AD 24-3- '07 Bankklant laat zich niet kennen

Er werd naar de klanten toe gesteld dat de wettelijke grondslag voor de actie in de Wet Identificatie Dienstverlening (WID) lag, al schrijft deze wet het heridentificeren van klanten helemaal niet voor.

Er werd naar de klanten toe gesuggereerd, en aan balies letterlijk gezegd, dat de WID hetzelfde is als de Wet op de Uitgebreide Identificatieplicht.

De Wet op de Uitgebreide Identificatieplicht (W.U.ID) staat in principe los van de actie.

De ID-plicht volgens de WU-ID, die per 1-1- 2005 van kracht werd, heeft uitsluitend betrekking op relatie van de overheid met de burgers en heeft uiteraard niets te maken met de particuliere relatie tussen de bank en zijn klant. De W.U.ID bepaalt dat uitsluitend opsporingsbevoegde ambtenaren mensen om een geldig identiteitsbewijs mogen vragen, wanneer deze dit voor de uitoefening van hun taak noodzakelijk achten, en geeft particuliere instellingen daar geen enkele bevoegdheid toe.

Toch was de invoering van de W.U.ID wel degelijk de aanleiding van de eis van de banken dat mensen hun identiteitsbewijs moesten komen tonen.

Voor het eerst sinds 1945 maakte de invoering van de W.U.ID het technisch mogelijk om van iedereen een geldig identiteitsbewijs te verlangen. Na het afschaffen van het, in de oorlog verplichte persoonsbewijs, hoefde men zo'n document immers niet meer te hebben. Paspoorten en ID-kaarten vormden tot 2005 uitsluitend reisdocumenten die mensen enkel nodig hadden als ze zich buiten het Nederlands grondgebied wilden begeven en rijbewijzen waren rijvaardigheidsbewijzen. Door de invoering van de W.U.ID werd de functie van voorgenoemde documenten - zonder dat daar een woord aan werd vuilgemaakt in het parlement - uitgebreid tot persoonsbewijs voor binnenlands gebruik. Iedereen vanaf 14 jaar werd, op straffe van het krijgen van bekeuringen of opgesloten te worden in een politiecel, sindsdien verplicht om een geldig identiteitsbewijs te moeten kunnen laten zien.

Het ministerie van Binnenlandse Zaken houdt - op vragen van het Meldpunt Misbruik Identificatieplicht- krampachtig vol dat paspoorten en ID- kaarten formeel nog steeds uitsluitend reisdocumenten zijn, maar het kan iedereen overkomen dat hij door een opsporingsambtenaar gesommeerd wordt om geldige papieren te laten zien- al was het maar als getuige van een ongeluk- en wie geen geldig identiteitsbewijs heeft mag niet meer deelnemen aan het gewone maatschappelijk verkeer, zoals het volgen van onderwijs, het afsluiten van een arbeidscontract of een behandeling in een ziekenhuis ondergaan voor iets wat niet direct levensbedreigend is.

De W.U.ID gaf banken dus geen bevoegdheid om naar geldige identiteitspapieren te vragen, maar maakte dat technisch wel mogelijk. De praktijk leert dat alles wat technisch mogelijk is doorgaans zonder veel aandacht te besteden aan andere consequenties dan economisch profijt, toegepast gaat worden. Meestal puur vanuit motieven, dat er geld mee te verdienen is en soms ook, omdat overheden, bedrijven of instellingen serieus verwachten, dat automatisering het menselijk falen terugdringt en zaken automatisch efficiënter en veiliger georganiseerd worden.

Naast de technische mogelijkheid verschafte de W.U.ID (omdat die recent was ingevoerd) een uitstekende gelegenheid om bij aan te haken, zonder dat het veel klanten zou opvallen dat men zich in feite helemaal niet hoefde te laten heridentificeren.

Het overgrote deel van de bevolking beschikt namelijk niet over zulke gedetailleerde juridische kennis dat men beseft dat de Wet Identificatie Dienstverlening (WID) niet hetzelfde is als de W.U.ID. En de ‘gewenningsfase' van de W.U.ID, waarin het Nederlandse volk werd ingepeperd dat er echt alle dagen mensen bekeurd en/of gearresteerd werden enkel omdat ze geen geldig ID-bewijs toonden - zelfs in de duizenden gevallen waar het vragen naar identificatie onrechtmatig was -vergrootte de kans dat mensen wel zouden geloven dat het echt wegens wettelijk voorschrift verplicht was, zoals de banken schreven.

Dit alles in schril contrast met de voorschriften qua integriteit van de Nederlandsche Bank.

De bankinformatiefolder ‘Vragen en antwoorden over legitimatie bij ABN-AMRO' verweeft de wetten zo handig dat het heel logisch lijkt dat men wordt verplicht om een geldig identiteitsbewijs te laten controleren. We citeren:"U bent voor de Nederlandse wet- en regelgeving verplicht om altijd een geldig legitimatiebewijs te kunnen tonen. Niet alleen voor ABN AMRO maar ook voor andere instanties".

Het lijkt erop dat de banken het misverstand dat de WID hetzelfde zou zijn als de algemene ID-plichtwet moedwillig gebruikt hebben om mensen te overreden gehoor te geven aan de oproep om naar de bank te komen. Waarom anders werd in de oproepen de vage omschrijving ‘wegens wettelijk voorschrift' en ‘op grond van de WID' aangevoerd als reden, dat de klanten zouden moeten langskomen, terwijl het gros van de klanten op grond van de WID helemaal niet opnieuw geïdentificeerd hoefde te worden?! Dit gebeurde van meet af aan en werd stug volgehouden, ook toen allang toegegeven was dat dit feitelijk onjuiste, misleidende informatie was.

 

 

De overheidsvoorlichting van Postbus 51 was expliciet duidelijk over de WID: daar stond - tot de tekst op 25 augustus 2006 stilletjes werd gewijzigd - te lezen:

'Wanneer vraag ik mijn cliënt zich te identificeren?'.

‘U hoeft een klant niet te identificeren als de cliënt u bekend is, bijvoorbeeld als rekeninghouder van uw instelling, en bij een eerdere gelegenheid is zijn identiteit vastgesteld (alle klanten die een rekening hebben geopend vóór 1989 gelden als geïdentificeerd)'.

Postbus 51 punt 5 info tot 25-8-06

Gewijzigde Postbus 51 info

Info over verwijdering essentiële informatie uit Postbusvoorlichting

Toen kritische mensen bij hun bank protest aantekenden tegen de oproep en uitleg vroegen over het gegeven, dat de WID geen her-identificatie verlangde, al deed de bank voorkomen, dat dat wel zo was, werd de Wet Melding Ongebruikelijke Transacties (MOT) erbij gesleept, als argument dat er een wettelijke verplichting zou zijn. Ook dat was foute en misleidende informatie omdat die wet zeker niet tot her-identificatie van alle klanten verplicht maar zoals de naam al aangeeft, enkel met ongebruikelijke transacties te maken heeft. De MOT erbij halen sloeg dus werkelijk nergens op, behalve dat het meehielp om de verwarring in stand te houden (verwarring welke wet tot identificatie zou verplichten en welke wet met fraudebestrijding verband houdt).

Het College Bescherming Persoonsgegevens (CBP) stuurde al in oktober 2005 een brief aan de Vereniging van Nederlandse Banken (VNG), dat banken hun klanten een foute voorstelling van zaken voorspiegelden, door te stellen dat mensen langs zouden moeten komen omdat vastlegging van een kopie van het ID-bewijs een vereiste zou zijn vanuit de WID of de MOT. Het CBP verzocht de VNG dringend om de bij hen aangesloten banken te verzoeken hun klanten hiervan op de hoogte te stellen.

Toch kwam er geen rectificatie naar de klanten en veranderden de teksten in de aanschrijvingen enkel in die zin dat naast de WID nu ook de MOT werd vermeld. De stroom oproepen en aanmaningen van de banken om mensen te overreden zich op grond van de WID te komen laten identificeren ging dus onveranderd door.

Ook toen toezichthouder De Nederlandsche Bank (DNB) op 15 juni 2006 in de circulaire ‘WID-herstelacties' schreef dat banken, conform het uitgangspunt van het ministerie van Financiën, terughoudend dienden om te springen met het terugroepen van bestaande cliënten om deze te identificeren ‘om het publiek geen onnodige overlast en kosten te bezorgen' veranderde er niets. De banken gingen onverdroten voort om al hun klanten op te roepen, aan te manen en onder druk te zetten met bedreigingen dat rekeningen geblokkeerd zouden worden.

Ook mensen die in het buitenland vertoefden of bedlegerig waren kregen de dreigbrieven, al had ook DNB in de circulaire letterlijk aangegeven dat reeds bekende klanten niet opnieuw hoefde langs te komen, mensen die persé niet wilden hooguit iets beter in de gaten moesten worden gehouden, mensen zich onder bepaalde condities ook op andere- dan de door de bank beoogde wijze van vastlegging van hun identiteitsbewijs - aan de wet konden voldoen en de relatie met bijvoorbeeld bedlegerige klanten gewoon kon worden gecontinueerd.

De banken trokken zich er niks van aan. Zo gebeurde het dat een ouder echtpaar, wat zich braaf kwam laten identificeren bij de bank waar ze al tientallen jaren klant zijn, door het baliepersoneel werd gedreigd met het blokkeren van hun rekening omdat mevrouw enkel een verlopen paspoort kon tonen. Zieken en gehandicapten die niet van huis kunnen werden bedreigd met opheffen van hun rekening. Ook registreerden we gevallen waarbij mensen die een klein geldbedrag op eigenrekening kwamen storten lastig gevallen werden dat ze zich eerst moesten laten identificeren middels het vastleggen van een geldig identiteitsbewijs. Er kwamen meldingen van mensen die niet geholpen werden bij het opheffen van een rekening als ze niet eerst hun ID-bewijs lieten inscannen, maar ook meldingen dat bij het opheffen van een rekening niet eens gecontroleerd werd of de persoon over de rekening mocht beschikken. Zelfs dode mensen kregen een oproep zich te komen laten identificeren.

Oneerlijke voorlichting en schoffering van weigerachtige klanten, zorgde voor veel commotie aan de balies van de bankfilialen, in telefoongesprekken met banken en in de briefwisselingen. Dit maakte het Meldpunt Misbruik Identificatieplicht op uit de stroom klachten en meldingen die men ontving.

Klachten van mensen die al 36 jaar klant zijn,  klachten van mensen die niet gediend zijn van valse voorlichting en dreigementen, of van suggestieve en vage informatie.

 

In Noord Holland beproefde de bank een andere tactiek. Daar trachtte men mensen te paaien om langs te komen door ze met een bioscoopbon te belonen. De Rabo probeerde het door mensen te belonen met een goedkope foto of diner bon.

(Mensen betalen voor de afgifte van hun persoonsgegevens, raakte in 2005 in zwang. De methode kenmerkt zich door de omgekeerde bewijslast als zouden de meeste mensen helemaal geen bezwaar hebben tegen het feit dat allerhande instanties hun persoonsgegevens opslaan omdat ze voor luttele bedragen of voordeeltjes bereid bleken hun persoonsgegevens af te geven).

Toch gaven de banken achteraf toe, dat de hele operatie veel omvangrijker was, dan ze van tevoren hadden ingeschat. In de loop van 2006 begonnen steeds meer klanten te beseffen dat ze werden misleid en bedrogen. Het regende klachten en veel mensen bleven zich verzetten tegen de onterechte oproepen.

Dat de banken niet hadden verwacht dat veel van hun klanten niet zondermeer bereid waren om hun persoonsgegevens aan de bank te verstrekken bleek wel uit de chaotische reacties als mensen hun beklag wilden doen. Er werden speciale telefoonnummers ingesteld om over dit onderwerp te bellen, maar daar werd of niet opgenomen, of er werd foute informatie gegeven en menigeen kreeg te horen dat medewerkers niet in wilden gaan op al te lastige vragen alvorens ze de hoorn op de haak kwakten. Nagenoeg alle personeelsleden van de banken, die uiteindelijk de identificatie en vastlegging van de ID-bewijzen moesten uitvoeren, bleken onvoldoende geïnformeerd over doel, grondslag en uitvoering van de maatregel. Dat had tot gevolg dat er aan de balie tot grote ergernis van de klanten ronduit foute en of tegenstrijdige informatie werd gegeven. Maar veelal weigerden de uitvoerenden om met mensen over het bevel in discussie te gaan of liepen de ergernissen en ruzies zo hoog op dat klanten helemaal niet meer geholpen werden of zelfs uitgescholden werden. De Postbank bleek, wat onheuse bejegening van de klanten betreft, met kop en schouders boven alle banken uit te steken (en streek per ingescande klant een bonus van TGP op).

Klanten, die zich niet lieten afschepen, kregen te horen dat men het dan maar moest aankaarten bij de klantenservice, de filiaalchef, de klachtenmanager, de juffrouw van de afdeling communicatie, mensen van de juridische afdeling van de bank, bij de regiochef, of de chef communicatie of hoe al die functionarissen ook mogen heten; of bij het CBP, de minister, de ombudsman, de consumentenbond of de rechter. Men werd van het kasje naar de muur gestuurd.

Wie de moeite deed om schriftelijk in debat te gaan, kreeg vervolgens geen antwoord of werd met nietszeggende brieven "we houden ons aan de wet" afgepoeierd of doorverwezen naar weer andere instanties, tot de aanhouder uiteindelijk brieven ontving met mededelingen als:"Verdere correspondentie over dit onderwerp wordt door ons niet meer in behandeling genomen".

Toen het onrechtmatig identificeren van miljoenen klanten door de banken begin augustus 2006 breed werd uitgemeten in de pers, liet eindelijk het ministerie van Financiën iets van zich horen. Daar werd toegegeven dat de wettelijke grondslag voor het vastleggen van kopieën van identiteitsbewijzen inderdaad niet op de WID of MOT gebaseerd is, maar dat dit aan de Algemene Wet Rijksbelastingen (AWR) ontleend diende te worden.

Die AWR vermelding komt men nadien soms ook tegen in correspondentie van banken met kritische klanten, maar in de officiële bankfolders van de Postbank en ABN blijft men hardnekkig geen AWR maar de WID vermelden.

 

 

De brief van de Postbank 14-10-2006 aan mevr. D. is een veelzeggend voorbeeld van een mengeling van foute informatie verstrekken en toegeven dat de bank onvolledige informatie verstrekte en tegelijkertijd de zaak zo voorstellen dat het allemaal wel klopt. De Postbank schrijft:'Iedere bank is verplicht de identiteit van haar klanten vast te stellen en vast te leggen. Dit is onder andere bepaald in de Wet Identificatie Dienstverlening. Wij hebben ervoor gekozen niet meer wetgevingen te vermelden omdat we het onderwerp daarmee voor onze klanten wellicht onnodig compliceren".

Hoe gretig banken voort bleven gaan met hun actie om van alle klanten niet alleen de identiteit vast te stellen maar ook de persoonsgegevens vast te leggen, blijkt uit een actie als die van de Postbank. De Postbank organiseerde met 25 teams, een speciale actie om bij ongeveer tweeduizend verzorginghuizen langs te gaan om de bewoners ter plekke te gaan identificeren.

Ook veelzeggend zijn voorbeelden als die van verenigingen waar het hele bestuur verplicht werd zich te komen laten identificeren, terwijl alleen de voorzitter en de penningmeester gemachtigd waren om met de bank zaken te doen.

• Het is een raar gegeven dat banken een grootscheeps, miljoenen euro's kostende, campagne op zouden zetten met de bedoeling om klanten die zij kennen, waarmee ze vaak al decennia zaken doen, te verplichten om zich bij een bankfiliaal of postkantoor te vervoegen, teneinde geïdentificeerd te worden.
• Dat banken dit doen op grond van een wet die dat niet verplicht is nauwelijks te geloven.
• Dat banken beweren en volhouden dat dit zou moeten op voorschrift van het ministerie van Financiën en de toezichthouder DNB is moeilijk te begrijpen aangezien die instanties zelf berichtten dat dat niet zo is.
• Nog onbegrijpelijker wordt het daar de klanten wordt voorgehouden dat de hele operatie een noodzakelijke maatregel zou betreffen die ten doel heeft om fraude met rekeningen en witwas praktijken tegen te gaan. Dit is zeer ongeloofwaardig aangezien deskundigen op gebied van criminaliteit - van professoren die zich met wetenschappelijke inzichten inzake witwaspraktijken bezighouden t/m fraudeonderzoeksbureaus, de officier van justitie en voormalig medewerker bij bureau MOT en de betrokken banken zelf, openlijk betwijfelen of de maatregel enig effect heeft op het gebied van fraudebestrijding en tot de conclusie komen dat het doorgeslagen regeldrift betreft die geen enkel doel dan het regelen zelf dient. Zoals we konden vernemen in het Argos radioprogramma op 29- 9- 2006 VPRO Ned.1.
• Toppunt van verwarring levert het op dat de banken, middels de VNG zelf ook openlijk bestrijden dat de identificatieactie enig nut zou hebben en minstens de proportionaliteit bestrijden (uitspraken Dhr. Bloks woordvoerder VNG en bankier Berg Bruggink van de Rabo in dezelfde Argos uitzending)
• Helemaal idioot is het dat banken, die in 2005 over het algemeen nog het imago hadden solide betrouwbare instellingen te zijn, de relatie met hun klanten zo op de spits dreven dat duizenden klanten het vertrouwen in hun bank verloren, en woedend werden omdat ze door hun bank bedrogen en bedreigd werden.

§     Waarom zouden banken, die er op uit zijn om zo min mogelijk mensen meer aan de balie te krijgen, alle klanten gaan verplichten om langs te komen?

§     Waarom gaan banken klanten en personeel waar ze al 30 jaar of meer een relatie mee hebben tegen zich in het harnas jagen door ze te verplichten zich te komen laten identificeren.

§     Waarom schrijven banken dat de actie wettelijk verplicht is als er geen wettelijke grondslag voor bestaat?

§     Waarom gaan banken verkeerde wetten als grondslag opgeven.

§     Waarom zouden banken miljoenen euro's uitgeven aan de aanschaf van nieuwe apparatuur en extra inzet van personeel om mensen waarvan ze al weten wie het zijn te identificeren?

§     Waarom durven banken het vertrouwen van klanten te beschamen door misleidende voorlichting te geven terwijl ze van de particuliere instellingen nou uitgerekend de categorie vormen waar het belang van de vertrouwensrelatie tussen bedrijf en klant expliciet wordt onderkend en gewaarborgd?

§     Hoe is het mogelijk dat banken aan hun klanten onrechtmatige eisen stellen en aan het niet voldoen van die eisen dreigementen verbinden, dat men bankrekeningen zal gaan blokkeren, wat feitelijk neerkomt op contractbreuk en daarom ongeoorloofd en strafbaar is?

§     Waarom riskeren banken dat ze worden aangeklaagd wegens onrechtmatig/onwettig handelen?

 

 

We constateren dat er duidelijk sprake is van een samenspel van tussen de betrokken hoofdrolspelers, te weten het ministerie van Financiën, DNB en de grote banken. De betrokkenen spelen voortdurend de bal rond door van de ander te beweren dat die de identificatieactie initieerde of ertoe verplichtte.

 

Er is geen enkele wettelijke grondslag voor het opnieuw identificeren voor klanten tenzij de banken in het verleden in gebreke zouden zijn gebleven om de identiteit van hun klanten te controleren of zo slordig met de persoonsgegevens zouden zijn omgegaan dat ze delen van hun administratie zijn kwijtgeraakt. Toch is er geen sprake van herstel-identificatie van klanten die nooit eerder werden geïdentificeerd, maar van een complete her-identificatie van alle klanten die gewoon bekend zijn bij de bank, in het verleden naar behoren werden geïdentificeerd en waarvan de relevante gegevens als bewijs hiervan in de bankadministratie liggen opgeslagen.

Toch beweren de grote banken dat ze door het ministerie van Financiën en DNB gedwongen werden om hun klanten opnieuw te identificeren. Sterker nog: de woordvoerder van de NVB liet weten dat de banken het opheffen van de her-identificatie verplichting waren gaan bepleiten in Den Haag maar daar bakzeil hadden gehaald bij een onverbiddelijke minister (bron: Argos).

Op 3 en 10 februari 2007 schreef het Meldpunt Misbruik ID-plicht aan de minister van Financiën een brief over de vermenging van de publiekrechtelijke taak van de overheid met de financiële belangen van particuliere bankinstellingen. In de reactie van het ministerie van 29 maart 2007 draait men om de hete brij heen met de suggestie dat mensen die een oproep kregen niet goed geïdentificeerd zouden zijn volgens DNB en als ze geen medewerking verlenen een risico voor de bank zouden vormen. Verder wil het ministerie geen brieven meer beantwoorden, zo liet men ons op 6 april 2007 weten.

Maar de minister van Financiën kan natuurlijk geen opdracht geven voor iets waar geen wettelijke grondslag voor is en DNB kan enkel van banken verlangen dat ze zich aan de wet houden, wat in dit geval betekent dat banken moeten kunnen aantonen dat ze hun klanten hebben geïdentificeerd.

Een bank die zich gewoon aan de wet houdt, door volgens de WID nieuwe klanten te identificeren middels controle van identiteitsbewijs en door vastlegging van de relevante persoonsgegevens en het nummer van het identiteitsbewijs op een formulier, kan aantonen aan de wet voldaan te hebben. Voor klanten die onder de AWR vallen dient de toezichthouder inzage te kunnen hebben op een bestand waar een kopie van het identiteitsbewijs is vastgelegd. Een zwart-wit papieren kopie voldoet ruimschoots om aan te tonen dat aan de identificatieverplichting is voldaan.

 

DNB voorzitter Nout Wellink houdt dan ook vol dat het de verantwoordelijkheid van de individuele banken is hoe ze invulling aan de wettelijke verplichtingen geven. Met andere woorden DNB stelt geen andere eisen dan dat aan wettelijke voorschriften moet worden voldaan, wat overeenkomt met de circulaire van DNB. Ook als het Meldpunt Misbruik ID-plicht op 14-12-07 expliciet hiernaar vraagt wordt dit 15-2- 2007 schriftelijk bevestigd.

9 januari 2007 schrijft toezichthouder Autoriteit Financiële Markten (AMF) dat zij zich er officieel niet mee bemoeien,' omdat DNB de taak heeft om toe te zien op het juist invullen van de wettelijke verplichting door banken', maar gaat er blijkens hun schrijven ook van uit dat her-identificatie enkel nodig zou zijn als banken in sommige gevallen nagelaten zouden hebben om klanten te identificeren.

Het ministerie van Financiën ontkende, bij monde van een woordvoerder d.d. 29-9-2006 op de radio dat Financiën ook maar iets van doen zou hebben met de her-identificatie actie. "Als banken aanvullende kosten hadden gemaakt om aan de wettelijke identificatievoorschriften te voldoen, dan was dat hun pakkie an en waren ze in het verleden kennelijk in gebreke gebleven, want de huidige voorschriften inzake identificatieverplichting volgens de wet bestonden al jaren".

DNB heeft geen banken berispt omdat ze nalatig waren geweest om klanten te identificeren en bepleit, officieel, zelfs terughoudendheid bij het toepassen van de wet. Toch treedt men niet op tegen banken, die meer persoonsgegevens vastleggen, dan noodzakelijk of terzake doend zijn, om aan de wettelijke verplichting te voldoen, maar fiatteert die handelswijze, zo blijkt uit de briefwisseling 17-1-‘07 en 15-2- '07.

Bits of Freedom  nomineerde in september 2007 De Nederlandsche Bank voor de Big Brother Award 2007 om een signaal afgeven dat als één van de belangrijkste onafhankelijke toezichthouders van ons land onze privacywetgeving niet meer serieus neemt, zijn kop in het zand steekt en de Nederlandse burger in de steek laat, dat een schande is en buitengewoon slecht voor de stand van de privacy in Nederland'.

In de briefwisseling waarin het Meldpunt Misbruik ID-plicht het Ministerie van dubieuze praktijken beschuldigt, verweeft het ministerie de stelling dat cliënten die niet willen meewerken ' zodat de bank kan voldoen aan wettelijke normen een risico vormen'. Dat het CBP en DSB het inscannen van persoonsgegevens niet afkeurden gebruikt men om te suggereren dat de banken verplicht zouden zijn om dat te doen. Ook DNB verschuilt zich achter het standpunt dat het vastleggen van meer persoonsgegevens dan noodzakelijk is, weliswaar verboden is volgens de bepalingen in de Wet Bescherming Persoonsgegevens, maar volgens het CBP in geval van de bankenwel geoorloofd zou zijn.

Omdat er geen wettelijke verplichting voor de operatie is kan men niet anders dan tot de conclusie komen dat er andere belangen dan het handhaven van de wet op het spel staan. En vanwege het samenspel van ministerie, DNB en de banken valt te verwachten dat er zowel voor de overheid als voor de banken gewin uit te behalen valt.

Het feit dat men van alle bankklanten aan de hand van geldige identiteitsbewijzen opnieuw wilde vaststellen of men met de juiste persoon te maken had en of die persoon overeenkomt met de klantgegevens uit de bankadministratie, levert de bank op zich geen winst op. Het profijt valt wèl te verklaren door de wijze waarop de identificatie plaats vond.

Niet het identificeren van klanten op zich, maar de opslag van hun persoonsgegevens was de inzet.

De clou van de hele actie is dat de grote banken en financiële instellingen in Nederland een particulier elektronisch persoonsregister van hun klanten wilden aanleggen. Een persoonsregister waarin niet alleen van alle klanten op toegankelijke wijze de voor de dienstverlening noodzakelijke gegevens worden opgeslagen maar een systeem waarbinnen van alle klanten zoveel mogelijk gegevens worden geregistreerd. Dus ook sofi-nummers van mensen die geen belastingplichtige diensten afnemen en pasfoto's van iedereen terwijl die helemaal voor niemand terzake dienend zijn.

De banken die zich aan de her-identificatie-actie bezondigen, willen een persoonsregister opzetten, dat ze de beschikking geeft over een nagenoeg perfecte digitale kopie van ingescande identiteitsbewijzen van al hun klanten.

Hoezeer de banken beseften hiermee buiten hun (wet) boekje te gaan blijkt wel uit het feit dat ABN AMRO de eerste maanden weigerde antwoord te geven op vragen van klanten of er eigenlijk wel kopieën van de identiteitsbewijzen werden gemaakt, zoals de bank beweerde, of dat ze door computers werden ingescand. De SNS bank wilde in september 2006 nog steeds geen antwoord op die vraag geven.

Dat het daadwerkelijk om het inscannen van de identiteitsbewijzen ging bleek duidelijk uit alle gevallen waarbij klanten keurig kwamen voldoen aan het verzoek om zich te komen laten identificeren maar waarvan de bank beweerde dat ze dit weigerden omdat ze hun identiteitsbewijs niet uit handen wensten te geven.

Ook als mensen wel bereid waren om een zelf gemaakte papieren kopie van het identiteitsbewijs in te leveren- waarvan ter plekke gecontroleerd kon worden of de kopie overeen kwam met het originele document, werd dat als weigering van identificatie aangemerkt.

De gekste gesprekken en ruzies hebben over het fenomeen inscannen en digitaal opslaan plaatsgehad. Bankpersoneel beweerde bijvoorbeeld regelmatig dat het inscannen nodig was om vast te kunnen stellen of een identiteitsdocument niet vals was (wat checken en geen scannen is, maar ook weer zo'n fijne spraakverwarring die maakt dat mensen in de luren kunnen worden gelegd omdat ze niet van de hoed en de rand weten), personeel ontkende dat er werd ingescand terwijl men het intussen stond te doen; Postbankmedewerkers beweerden bij hoog en bij laag dat de minister voor de Postbank ontheffing had verleend om te mogen inscannen; er werd beweerd dat er recentelijk een wet gewijzigd was -of eentje ingevoerd -die het maken van scan veroorloofde...enz.

Mensen die bezorgd zijn over hun privacy en zich beroepen op hun grondrecht dat hun persoonlijk leven beschermd dient te worden, hadden grote bezwaren tegen zowel de opslag van meer gegevens dan bij wet verplicht wordt als op het inscannen en digitaal opslaan van hun gegevens.

Inhoudelijk spitste de onenigheid over het al dan niet mogen inscannen en digitaal opslaan van identiteitsbewijzen zich op een paar punten toe.

Ten eerste op het feit dat de WID, geen vastlegging van een kopie van een identiteitsbewijs in de administratie verlangt. Daarvan is dus duidelijk dat je mensen niet mag oproepen dat ze zich op grond van die wet moeten komen laten identificeren en ze vervolgens gaan verplichten om een scan van hun ID-bewijs te laten maken. Bovendien verplicht de WID dan wel dat bijvoorbeeld nieuwe klanten geïdentificeerd moeten worden, en dat de toezichthouder moet kunnen toetsen of dat daadwerkelijk is gebeurd, maar wie enkel een betaalrekening opent is niet verplicht om zijn sofi-nummer bekend te maken - laat staan dat te laten noteren. Het vastleggen van iemands pasfoto is eveneens niet gepast aangezien die enkel bedoeld is om bij de lijfelijke identificatie vast te kunnen stellen of iemand overeenkomt met het getoonde document. In de administratie hoeft men enkel het nummer van het identificatiebewijs te noteren. Samenvattend: voor de WID hoeven enkel de volgende- voor de dienst terzake doende, gegevens te worden genoteerd, zijnde geslachtsnaam, voornamen, geboortedatum, adres en woonplaats (dan wel plaats van vestiging), de aard, het nummer en de datum en plaats van uitgifte van het identiteitsdocument.

Het volstaat voor de WID als van mensen door een bankmedewerker wordt vastgesteld dat de persoon overeenkomt met het getoonde ID-bewijs en deze gegevens- met uitzondering van het sofinummer- middels een ingevuld en van handtekening voorzien formulier in de administratie wordt vastgelegd. Voor de wet volstaat dat, maar het kostte mensen maanden om van hun bank gedaan te krijgen, dat zij toestonden om op deze manier aan de WID voorschriften te voldoen.

Omdat de bank, hoewel de wet geen vastlegging van een afschrift in de administratie eist, dit toch wil vastleggen om te kunnen bewijzen dat men aan WID heeft voldaan, kan dat middels het invullen van een formulier gebeuren.

Op dat formulier worden de relevante persoonsgegevens genoteerd inclusief het nummer van het identiteitsbewijs. Deze ‘oude' manier van identificeren is niet alleen mogelijk bij banken die altijd al op deze wijze aan hun wettelijke verplichting voldeden, maar ook bij ABN-AMRO en Rabobank accepteren deze vorm van identificatie.

De tweede onenigheid betrof namelijk de wijze waarop de AWR zou voorschrijven dat er een afschrift van het ID-bewijs in de administratie wordt opgenomen.

Het komt er kort gezegd op neer dat iedereen die bij de bank belastingplichtige diensten afneemt moet worden geïdentificeerd op grond van de AWR en dat die wet voorschrijft dat er een ‘kopie' van het identiteitsbewijs moet worden vastgelegd in de administratie.

De onenigheid van veel klanten en de banken bestaat hieruit dat volgens mensen die niet willen dat een nagenoeg perfecte scan van hun identiteitsbewijs digitaal wordt opgeslagen in de bankadministratie vinden dat het moet volstaan volgens de wet als er een papieren zwart wit kopie wordt ingeleverd.

De bezwaren tegen de scan-methode bestaan eruit, dat het inscannen en digitaal opslaan van identiteitsbewijzen technisch zo ontwikkeld zijn, dat die leiden tot een reproductie van de oorspronkelijke documenten, wat in de paspoortwet (art. 61) verboden werd. Nu in de identiteitsbewijzen biometrische kenmerken worden opgeslagen en de gegevens op afstand uitleesbaar zijn, worden de gevaren, dat er (digitaal) gefraudeerd gaat worden, vele malen groter dan iemand bij invoering van die paspoortwet kon vermoeden.

Het inscannen van pasfoto's vormt bovendien een gevaar omdat het technisch mogelijk is dat ingescande pasfoto's gekoppeld kunnen worden aan gezichtherkennende camerasystemen. Camera's kunnen dan met softwareprogramma's zo geprogrammeerd worden dat ze een signaal geven als ze bepaalde mensen te herkennen, of mensen met bepaalde uiterlijke kenmerken. De mogelijkheden voor toepassing qua bewaking en commercie zijn legio, met het onvermijdelijke gevolg, dat betrokkenen op geen enkele wijze meer kunnen nagaan, wie er over hun gegevens beschikt en wat ermee gebeurt.

 

 

Telegraaf 2006

Het tweede belangrijke bezwaar ging over het digitaal opslaan van het sociaal-fiscale nummer (sofinummer). Het administratienummer waaronder een belastingplichtige geregistreerd stond bij de Belastingdienst en tevens diende als registratienummer voor de verzekerde en de uitkeringsgerechtigde bij de uitvoering van de wetten inzake de sociale zekerheid. Een nummer wat nooit en te nimmer gebruikt zou worden voor andere doeleinden, zoals staatssecretaris Lou de Graaf (CDA) het parlement bij invoering in 1988 bezwoer.

Dit sofinummer zou, zo was in de zomer van 2005 de verwachting, op korte termijn worden vervangen door een uniek persoonsnummer het Burger Service Nummer (BSN) genaamd. Via dat unieke BSN persoonsnummer konden dan niet alleen ieders adres en geboortegegevens uit het bevolkingsregister ontsloten worden en gekoppeld worden aan de financiële gegevens van de belastingdienst en de sociale dienstverlening, maar voortaan ook gekoppeld worden aan bestanden van het onderwijs, maatschappelijk werk, medische diensten en politie- en justitieregisters. Bovendien werd via dit nummer een automatische koppeling mogelijk met de gechipte biometrische identiteitsbewijzen die in 2006 zouden worden ingevoerd.

Het BSN zou uitsluitend worden gebruikt voor verkeer tussen de overheid en de burger. Alleen overheidsorganen zouden volgens het wetsvoorstel toegang tot de achterliggende gegevens mogen krijgen. Toch gaf minister Zalm op 17 november 2005 al in de Kamer aan dat wat hem betreft alle financiële dienstverleners toegang moesten krijgen tot de achterliggende gegevens van het BSN.

Aangezien de cijfercombinatie van het BSN hetzelfde zou blijven als van het oude sofi-nummer konden banken door identiteitsbewijzen in te scannen en digitaal op te slaan zich bij voorbaat verzekeren van het gebruik van een nummer waar niet alleen de naam- adres- woonplaatsgegevens en het belastingnummer van mensen toegang toe geven, maar ook aan bijvoorbeeld de medische gegevens.

Ondanks grote bezwaren in de Eerste Kamer werd het BSN uiteindelijk eind 2007 ingevoerd. Daarmee werd een wet aangenomen die de privacy van mensen ernstig in gevaar brengt omdat hij geen enkele garantie biedt dat, in dit geval, banken en verzekeringsmaatschappijen, in hun bedrijfsvoering gebruik kunnen maken van gegevens van mensen waar ze geen toegang tot zouden mogen hebben. Zoals voor commercieel gebruik, bewakingsdoeleinden of als verlengstuk voor opsporingsdoeleinden van politie en justitie.

Alle mooie praatjes, dat de gekoppelde gegevens beveiligd zijn, en dat banken bijvoorbeeld echt geen medische dossiers kunnen bekijken, als iemand een verzekering wil afsluiten, zijn ongeloofwaardig en in tegenspraak met waar experts op gebied van beveiliging van databestanden voor waarschuwen.

Praktijk voorbeelden van frauderende bankmedewerkers, racistisch optreden van banken in de VS en de beveiliging van medische gegevens die zo lek is als een mandje, spreken boekdelen.

Het moge duidelijk zijn dat van banken die het vertrouwen van hun klanten ernstig geschonden hebben door ze voor te liegen en te bedreigen niet te verwachten valt dat ze de persoonsgegevens die ze zich op onwettige wijze hebben verschaft zorgvuldig zullen gaan beheren.

De discrepantie tussen wetgeving en standpunt van het CBP

Relevante artikelen WBP en paspoortwet Lees...

• De WID verlangt GEEN vastlegging van een identificatiebewijs in de administratie. Artikel 6, 8c en 34-5 van de WBP zijn dus niet van toepassing.
• De WID verlangt dat de identiteit wordt gecontroleerd alvorens iemand klant van de bank mag worden en in gevallen dat sprake is van bijzondere grote transacties.
• Er is geen wet die bepaalt dat klanten die reeds bekend zijn bij de bank opnieuw zouden moeten worden geïdentificeerd. Her-identificatie van klanten, die al bekend zijn, is daarom niet in overeenstemmingmet de Wet BP vlg. art 6.
• Daar waar banken mensen aanschrijven dat her identificatie noodzakelijk is kunnen mensen zelfs gerede twijfel krijgen of de banken wel, conform art 6, zorgvuldig zijn omgegaan met hun gegevens.
• Uit de circulaire van de Nederlandsche Bank van 15-6-2006 blijktonomstotelijk dat de WID-herstel-actie helemaal niet bedoeld is om de identiteit van klanten vast te stellen, al doet de naam dat vermoeden en verstrekken de banken hun klanten hierover moedwillig valse informatie. De circulaire stelt duidelijk dat het niet om identificatie gaat maar dat het doel is om de bestanden toegankelijk te maken. Mensen voorliegen over de reden waarom hun persoonsgegevens worden verzameld en opgeslagen, is in tegenspraak met art 6, 11, 12-1 WBP en ons inziens ook volgens het Wetboek van Strafrecht als oplichting dan wel misleiding strafbaar.
• Identificatie betekentvaststellen of men met de juiste persoon van doen heeft.
• Dit gebeurt door vast te stellen of degene die geïdentificeerd wordt overeenkomt met het identiteitsbewijs en of het identiteitsbewijs geldig is. Om aan de WID te voldoen is dit voldoende. Vastleggen van meer persoonsgegevens dan voor het doel noodzakelijk zijn is in tegenspraak met WBP art.11.
• Omdat de bank, hoewel de wet geen vastlegging van een afschrift in de administratie eist, dit toch wil vastleggen om te kunnen bewijzen dat men aan WID heeft voldaan, kan dat middels het invullen van een formulier gebeuren. Op dat formulier worden de relevante persoonsgegevens genoteerd inclusief het nummer van het identiteitsbewijs. Deze ‘oude' manier van identificeren is niet alleen mogelijk bij banken die altijd al op deze wijze aan hun wettelijke verplichting voldeden, maar ook bijABN-AMRO en Rabobank accepteren deze vorm van identificatie. Deze wijze van vastlegging maakt niet alleen dat de bank kan aantonen dat men aan de identificatieplicht heeft voldaan, het toont tevens aan dat meer persoonsgegevens vastleggen niet noodzakelijk, laat staan onoverkoombaar is.
• Pasfoto's zijn enkel bedoeld voor het identiteitsbewijs zelf, men identificeert de klant door te constateren of de foto overeenkomt met de persoon. Het vastleggen van pasfoto's is niet terzake doende en daarom niet legaal. Volgens WBP art. 6, 7 en 8
• Het vastleggen van het sofi-nummer is in het kader van de WID niet relevant en tevens in strijd met art. 6, 7 en 8. Het sofi-nummer moeten banken wel registreren, indien men klantenfiscaal gerelateerde diensten verleent, maar dat valt buiten het bestek van de WID.
• In de gevallen dat banken op grond van de Algemene Wet inzake Rijksbelastingen het sofi-nummer van hun klanten vastleggen, dienen ze zich te houden aan correcte, ondubbelzinnige informatievertrekking hieromtrent,eveneens conform art 6, 7 en 8.
• Sofi-nummers vastleggen op grond van de WID is niet rechtmatig maar bovenmatig enniet terzake dienend, daarom in tegenspraak met de WBP artikelen 6, 7, 8, 11 en 33
• Pasfoto's vallen volgens de Wet BP onder paragraaf 2.zijnde ‘bijzondere persoonsgegevens'. Uit pasfoto's zijn uiteraardraskenmerken af te leiden. Volgens art. 18-a is het constateren dat iemand tot een bepaald ras behoort bij identificatie onvermijdelijk, maar ‘de verwerking van persoonsgegevens betreffende o.a. iemands ras' zijn volgens art.16expliciet verboden.
• Waarbij we aantekenen dat, waar de wet op 6 juli 2000 het vastleggen van raskenmerken al verbood, de technologische ontwikkelingen sindsdien de bescherming van de privacy in deze vele malen belangrijker maken. Het is immers momenteel mogelijk om nagenoeg perfecte kopieën of scans van pasfoto's te maken die het technisch mogelijk maken om de digitaal opgeslagen gevoelige persoonsgegevens te koppelen aan gezichtsherkennende camera systemen en op afstand uitleesbare identiteitsdocumenten.
• Sofi-nummers mogen niet op grond van de WID worden vastgelegd. Ook hier past een opmerking dat het vastleggen van wat momenteel het sociaal-fiscale nummer is dezelfde cijfercombinatie vormt waarvan het kabinet voornemens is daar een veel breder algemeen persoonsnummer, het Burger Service Nummer (BSN), van te maken. Zodra het BSN wordt ingevoerd, volgens de algemene voorwaarden zoals die in het wetsontwerp bij de Eerste Kamer zijn voorgelegd, promoveert het sofi-nummer eveneens tot ‘bijzonder gevoelig persoonsgegeven' omdat het BSN dan namelijk alle persoonlijke informatie uit alle domeinen/sectoren van het maatschappelijke leven bevatten, waaronder bijvoorbeeld de in paragraaf.2 art. 16 genoemde gegevens betreffende iemands gezondheid.
• Het maken van nagenoeg perfecte kopieën of scans van officiële identiteitsbewijzen evenals het in voorraad hebben van voorgenoemde is in strijd met de Paspoortwet. art 61
• Banken die persoonlijke gegevens vast te leggen zonder vooraf toestemming te vragen aan de betrokkenen overtreden art.8
• Persoonsgegevens die bedoeld zijn om de juiste identiteit van iemand vast te stellen mogen nietlanger bewaard worden, in een vorm die identificatie mogelijk maakt, dan voor het doel waarvoor ze verzameld werden. Vastleggen van kopie of scan van het identiteitsbewijs is niet nodig om te kunnen vastleggen dat aan de identificatieplicht is voldaan maar wel te gebruiken om latere identificatie mogelijk te maken en dus strijdig met art 10.
• Gezien het feit dat bankgegevensvan iedereen die de VS in of uit reist worden vastgelegd en verwerkt in een zgn. risicoprofiel, en zelfs bankgegevens van mensen die niet naar de VS reizen werden doorgespeeld naar de VS, constateren wij dat waar banken identiteitsbewijzen integraal digitaal vastleggen in strijd handelen met art 76. Dit artikel verbiedt n.l. opslag van persoonsgegevens waarvan de verwerking wordt onderworpen of bestemd is om na doorgifte te worden verwerkt aan landen waar geen passend beschermingsniveau is gewaarborgd.
• Het College Bescherming Persoonsgegevens acht desalniettemin sinds augustus 2006 dat het inscannen van identiteitsbewijzen door de banken in het kader van de her-identificatieactie van de banken wèl geoorloofd zou zijn.
• Het CBP legt daarbij zelfs uit dat het ‘gebruik kopie en scan door banken voor WID mag ', omdat dit in ‘het belang van de banken' is. Dit is in tegenspraak met art 8- f waar de Wet BP bepaald datde fundamentele rechten en vrijheden van betrokkenen, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, dient te prevaleren boven het belang van degene aan wie de gegevens worden verstrekt.
• Dat het College, zonder enige onderbouwing stelt dat de aard van de vastgelegde gegevens het belang van betrokkenen niet zou schaden, geldt absoluut nietwaar het vastlegging van pasfoto's betreft en deels niet in geval van vastleggen van sofi-nummers.
• Veel mensen verzetten zich niet voor niks tegen de opslag van deze gegevens omdat ze het wèl als een inbreuk op hun persoonlijke vrijheid beschouwen.
• Dat de banken de verwerking van de gegevens met voldoende waarborgen zou omgeven zodat belangen van betrokkenen niet geschaad zouden worden is onzin. Banken, die al maanden miljoenen klanten onder valse voorwendselen en onder bedreiging pressen, om aan hun onrechtmatige eisen te voldoen, verdienen dit vertrouwen niet.
• De onenigheid tussen de banken en een deel van hun klanten is hiermee geschetst.

De onverkwikkelijke rol van het College Bescherming Persoonsgegevens in deze kwestie nader toegelicht:

Op 31 oktober 2005 had het CBP, een kritische burger die hier vragen over had gesteld, schriftelijk laten weten dat het digitaal opslaan van pasfoto's op grond van de wet niet geoorloofd was: "De opslag van pasfoto's moet voldoen aan de eisen die de Wet Bescherming Persoonsgegevens stelt. Pasfoto's die voor een bepaald doel zijn verzameld, mogen in beginsel niet worden gebruikt voor andere doeleinden". Indien (digitale) pasfoto's worden verzameld voor de afgifte van identiteitsdocumenten mogen zij dus alleen gebruikt worden voor dat doel. Pasfoto's mogen slechts worden opgeslagen wanneer dit voor identificatie onvermijdelijk is.

Dit oorspronkelijke standpunt van het CBP met de uitleg dat de WBP het vastleggen van pasfoto's om voor later identificatie te gebruiken expliciet verbiedt, heeft het Meldpunt Misbruik ID-plicht maandenlang aan allen die om advies vroegen als leidraad doorgegeven.

Tot onze verbazing bleek op 10 augustus 2006 het CBP een gewijzigd standpunt gepubliceerd te hebben op hun website.

Wel mopperde het CBP dat de voorlichting van de banken over de WID verplichting nog steeds niet voldoende was verduidelijkt aan de klanten, maar daar werd niet de conclusie uit getrokken dat de banken hun klanten dus al anderhalf jaar op oneigenlijke gronden trachten over te halen om hun identiteitspapieren ter beschikking te stellen voor de bankadministratie. Het verzamelen van niet terzake doende persoonsgegevens werd niet veroordeeld en het zou volgens het CBP nu ineens zelfs geoorloofd zijn om middels scans een nagenoeg getrouwe kopie van de identiteitsbewijzen in centrale digitale bankbestanden op te slaan.

Op 29-9-2006 vroeg het meldpunt Misbruik ID-plicht om opheldering hierover, in de veronderstelling dat er sprake van een vergissing was. Dat bleek echter niet het geval te zijn. Waarom het College van standpunt veranderde terwijl de Wet BP niet veranderd was, is nog steeds niet opgehelderd. Het blijft onbegrijpelijk dat het CBP zoveel mensen expliciet om steun tegen de aantasting van hun privacy vroegen, in de kou liet staan.

Men kan zich afvragen of de standpuntbepaling te maken heeft met de grote machtsfactor die de banken en het ministerie in ons land uitoefenen. De banken zouden immers beslist niet blij geweest zijn als ze op gezag van het CBP alle ingescande gegevens zouden moeten verwijderen. En het CBP heeft natuurlijk geen behoefte om het ministerie van Financiën tegen zich in het harnas te jagen omdat de organisatie alleen al uit financieel oogpunt niet genoeg middelen heeft om de alsmaar uitdijende taak naar behoren te kunnen uitoefenen. Maar daar staat tegenover dat het CBP formeel een onafhankelijk instituut is dat zichzelf in diskrediet brengt wanneer men de bescherming van persoonsgegevens niet op de eerste plaats blijft stellen.

Het Meldpunt Misbruik ID-plicht heeft vanaf augustus 2006 krachtig tegen het ingenomen standpunt geprotesteerd, uitleg gevraagd waarom het CBP van standpunt veranderd was, herziening van dit standpunt aangevraagd, en klachten hierover ingediend bij het CBP zelf en bij de Nationale Ombudsman.

Brieven aan het CPB 29-9-2006, 3-11-2006, 5-1-07, 31-1-07

Antwoorden CPB 28-12- 2006, persbericht 26 januari 2007, uitslag herzieningverzoek 26-7-2007

De zaak speelt nog steeds waarbij cruciaal lijkt dat het CBP het belang van de banken boven de privacy van mensen die hun vrijheid willen bewaken stelt.

 

Het CBP wenst zich enerzijds niet in te laten met de kwestie of het vastleggen van identiteitsbewijzen op zich wel strookt met de wetgeving en zegt enkel de praktische uitvoering aan de artikelen van de WBP te toetsen, maar zet in januari 2007 op hun website wel een persbericht dat het inscannen geoorloofd zou zijn ‘gezien het belang van de banken'. Het onderzoek van het CBP naar het inscannen van identiteitsbewijzen van miljoenen klanten die allang bij de bank bekend zijn en waarvan velen hadden laten weten de praktijk van de banken onaanvaardbaar te vinden, behelsde uitsluitend het navragen bij ministerie, DNB en VNG hoe men te werk ging in plaats van een afweging te maken of al die mensen die bij het CBP aanklopten in het gelijk gesteld moeten worden dat het vastleggen van niet ter zake doende gevoelige persoonsgegevens in strijd is met de WBP. Onder het motto: beter ten halve gekeerd dan ten hele gedwaald kan iedereen die het niet eens is met dit standpunt kan nog steeds een beroep doen op het CBP met een ‘herzieningsverzoek' aangaande hun standpunt in deze.

Het gebrek aan middelen van het CBP om adequaat te reageren op alle particulieren, die de weg naar het CBP vonden en vragen stelden over hun privacyschending, is samen met de duizelingwekkende ontwikkelingen qua inperking van de persoonlijkevrijheid, ongetwijfeld debet geweest aan het feit dat het CBP pas 5 maanden later met een toelichting over hun veranderde standpunt naar buiten kwam. Maar het blijft onverkwikkelijk dat zomer 2006 niemand van het CBP wist, en in eigen administratie kon achterhalen, dat er in 2005 al een standpunt was ingenomen. Wij achten het schandalig dat het CBP eind december 2006 als enige reactie, aan alle mensen die geklaagd hadden dat ze de handelswijze van de banken onacceptabel vonden, een brief stuurde dat het CBP een brief had geschreven aan de Vereniging van Nederlandse Banken en dat die tot 22 januari.2007 de tijd kregen om inlichtingen te geven over' de uitvoering van de identificatieplicht bij banken in het kader van de WID'.

26 januari 2007 kwam het CBP eindelijk met de uitslag waarom het vastleggen van een scan wel zou mogen en lezen we tot onze verbijstering dat de grondslag van dit standpunt niet de Wet BP is, maar het belang van de banken (nog even daar gelaten dat nog steeds over toepassing van de WID geschreven wordt die dus helemaal geen vastlegging van een
kopie vereist).

De omschrijving van de AWR dat ‘vastlegging door middel van afschrift (kopie)' verlangd wordt, gebruiken de banken als alibi om ook een scan gelijk te stellen aan een afschrift. Men doet voorkomen alsof enkel de kopieermethoden veranderd zijn maar dat een scan juridische hetzelfde zou blijven.

Wij constateren, dat het maken van een kleurenkopie (laat staan het direct inscannen van ID-bewijzen) zowel voor de feitelijke identificatie, als voor de vastlegging van het bewijs, dat aan de identificatieverplichting is voldaan, niet noodzakelijk is, dus niet onvermijdelijk en al helemaal niet redelijk.

Nieuwe mogelijkheden om beelden te kopiëren, automatisch dezelfde juridische status te geven als de vroegere methoden, levert grote gevaren voor de privacy op. Gevaren die alles te maken hebben met digitale communicatietechnieken, waarbij beelden waar ook ter wereld beschikbaar kunnen worden gesteld, en met de invoering van biometrie als identificatiemethode (c.q. authentificatie- of verificatiemethode wat in de praktijk weinig verschil zal maken).

 

Door de technische ontwikkelingen zou het College Bescherming Persoonsgegevens juist bijzonder alert moeten zijn op het ongeoorloofd kopiëren en gebruik maken van extra gevoelige identificerende gegevens. De bewering als zou een scan gelijk zijn aan een afschrift, is juridisch niet onderbouwd daar er geen regelgeving of jurisprudentie bestaat waaruit kan worden afgeleid dat een nagenoeg perfecte digitale kopie verkregen door inscannen gelijk te stellen is aan een afschrift of papieren zwart-wit kopie.

Het is belangrijk dat nieuwe gevaren, die kunnen ontstaan door het inscannen en transporteren van gevoelige persoonsgegevens, tijdig worden gesignaleerd. Wat "onschuldig" lijkt te beginnen neemt in een later stadium buitenproportionele vormen aan, waardoor in de toekomst onbeheersbare situaties ontstaan. Dat het College BP in juli 2007 nog als argument, om het standpunt na heroverweging niet te herzien, aanvoert dat er (nog) geen voorbeelden zijn, dat banken misbruik van gegevens hebben gemaakt, is een domme redenering. En inmiddels ook achterhaald, gezien de uitspraken van de voorzitter van het CBP, dhr Kohnstamm, 8-8-2007 in het NOS journaal, dat het CBP een klacht binnenkreeg van een man, die geen hypotheek kon krijgen, omdat de bank er, op onnavolgbare wijze, achter was gekomen, dat de broer van de betrokkene in het verleden negatieve contacten met politie en justitie had gehad.

Misbruik moet je zien te voorkómen, en aangezien men gegevens waar men niet over beschikt niet kán misbruiken is terughoudendheid in het vastleggen van data de best mogelijke vorm van preventie.

Omdat het Meldpunt Misbruik ID-plicht het onverteerbaar vind dat het CBP een standpunt inneemt wat ons inziens niet in overeenstemming is met de Wet Bescherming Persoonsgegevens adviseren we mensen zich niet op het standpunt van het College BP te beroepen maar op de Wet BP .

We hopen dat het onderzoek van de Nationale Ombudsman, naar het ‘onderzoek' waarop de standpuntwijziging van het CBP gebaseerd is, er toe zal leiden dat het CBP alsnog haar huidige opinie zal herzien.

Het zou prachtig zijn als dit tevens een algemene veroordeling zou inhouden van het inscannen en digitaal opslaan van identiteitsbewijzen en pasfoto's door derden. Maar vooralsnog wil het CBP daar geen algemeen geldende uitspraken over doen.

Verzet

Mensen die volhielden dat ze niet accepteerden dat op grond van de WID meer gegevens dan noodzakelijk worden vastgelegd, en mensen die volhielden dat ze in hun recht staan om te eisen dat hun gegevens niet worden ingescand, kregen eindeloze briefwisselingen gelijk. Zoals van Raad van Bestuur ABN-AMRO van DNB.

Mensen die niet wisten dat hun persoonsgegevens waren ingescand kregen gedaan dat die gegevens met terugwerkende kracht verwijderd werden uit het databestand van de bank.

Althans dat moet men aannemen op gezag van een schriftelijke bevestiging van de bank zelf, aangezien het niet mogelijk bleek dit te controleren. DNB, AFM en CBP gaven op verzoek hiertoe te kennen, dit niet te willen verifiëren.

Hoewel zeker anderhalf miljoen Nederlanders geen gevolg hebben gegeven aan de oproep van hun bank om zich te komen laten identificeren proberen de overheid, de banken, DNB en het CBP te verdoezelen dat de banken juridisch bakzeil haalden door het als uitzonderingen af te doen.

AD 24-3-2007:

 

 

Al met al wordt steeds duidelijker wat de banken voor voordeel hebben bij het digitaliseren van hun klantbestanden. Banken willen alleen maar zoveel mogelijk geld verdienen. Dus moet er, gezien de miljoenen, die gemoeid zijn met aanschaf van scanapparatuur en tijdelijke inzet van WID-herstelactie personeel, vanuit worden gegaan, dat de kosten voor de baten uitgaan, en er financieel veel te winnen valt.

Een bank is niet gebaat bij vriendelijke baliemedewerkers die klanten helpen, maar met minder personeelskosten, hoe minder personeel men nodig heeft hoe beter het is voor de winstcijfers. Voor het identificeren van nieuwe klanten en voor het later opvragen en uitwisselen van persoonsgegevens is minder, en minder gekwalificeerd, personeel nodig als alles digitaal gaat in plaats dat er met formulieren en papieren kopieën wordt gewerkt.

Het schept tevens de mogelijkheid dat het werk door arbeidskrachten aan de andere kant van de wereld wordt gedaan. Dat ingescande identiteitsbewijzen eenvoudig te koppelen zijn aan databestanden van de overheid en van andere organisaties levert een schat aan mogelijkheden op. Technisch is het uitwisselen van gegevens vaak enkel nog een kwestie van één druk op de knop; een elektronisch bericht versturen met ‘opgepiepte' databestanden, is minder werk dan naar een archiefkast lopen. Hoe lucratief is het, om door de overheid automatisch op de hoogte te worden gehouden, wanneer mensen van adres veranderen. En hoe interessant is het, om bij het verstrekken van leningen of aangaan van zakelijke diensten, even iemands doopceel te lichten bij justitie, sociale zaken, schuldhulpverleningsinstanties, verzekeringsmaatschappijen, collega banken, de onderwijsinstelling waar iemand staat ingeschreven, diens werkgever of instanties in de medische wereld?

Voorstanders van de digitalisering zullen tegenwerpen, dat dat niet allemaal zomaar mag, dat er wetgeving is, die de uitwisseling van gegevens regelt met ‘schotten' en toegangsprotocollen en -codes, maar iedere deskundige op gebied van computerbeveiliging weet, dat dat een wassen neus is.

En wat te denken van de mogelijkheden om middels de pasfotokoppeling door camera's te laten controleren of de gezichten van iedereen die de bank binnenkomt of passeert in de bewakingssystemen van het winkelcentrum voorkomen, of qua uiterlijk tot de minder draagkrachtige- minder gewenste bankbezoekers lijkt te horen, of qua Marokkaans of oost Europees uiterlijk extra in de gaten gehouden wordt, of als chique vaste klant daarentegen met voorrang behandeld. De mogelijkheden om mensen of groepen op een bepaald uiterlijk met voorgeprogrammeerde beveiligingsmaatregelen te bejegenen dringen zich op.  Ook de mogelijkheden voor commerciële toepassing tekenen zich uit. Scenario's als' je komt de bank binnen, wordt herkend het personeel ziet onmiddellijk wat voor rekeningen je bij hen hebt en kan je met je naam aanspreken en een persoonlijk toegesneden aanbieding doen, of vragen waarom je geen adreswijziging hebt doorgegeven terwijl je volgens hun gegevens eigenaar-bewoner bent van een koopwoning enz. Het zijn allang geen toekomstvisioenen meer, de technische mogelijkheden zijn er en worden steeds geavanceerder.

Dit soort ontwikkelingen gaat in razendsnel tempo verder, met name vanwege de toepassing van de op afstand uitleesbare Radio Frequentie Chip (RFID) Middels deze chips is de koppeling van gezichtherkenning met identiteitsdocumenten (inmiddels ook voorzien van uitleesbare chips) mogelijk, maar ook met bankpassen, klantkaarten gechipte huisdieren, met een dagelijks grotere hoeveelheid goederen van kleding, boeken, voedsel en op termijn ook alle bankbiljetten. Uitwisseling van persoonsgegevens met alle mogelijke objecten maakt het mogelijk om ook toegang te krijgen tot de communicatiemiddelen waar iemand zich van bediend- mobiele telefoon, schootcomputer met verbinding naar internet e.d.

Opslag van pasfoto's en de beschikking van het Burger Service Nummer zijn de sleutels tot het verkrijgen van veel meer gegevens van personen - zonder dat die enige notie hebben wie er wanneer en met welk doel over hun gegevens beschikt.

De Raad van State waarschuwde in 2005 al voor de gevolgen die ruime toepassing van het BSN zou hebben voor de privacy: "Het BSN is in principe openbaar: het zal worden vermeld op identiteitsbewijzen; bedrijven kunnen het BSN langs die weg dan ook registreren en gebruiken. [...] Het zal in de praktijk niet tegen te houden zijn dat het BSN van diverse personen ruim bekend wordt, en soms zelfs op het internet opduikt; door het combineren van de gegevens die dat oplevert (data-mining) kan dan een indringend beeld van zo'n persoon worden opgebouwd."

Voor de overheid is profijtelijk dat banken over de digitale opslag van persoonsgegevens beschikken. Minister Zalm noemde het 17 november 2005 zelfs ‘de hoofdprijs'.

De regering onder de kabinetten Balkenende is voorstander van een elektronische overheid. Men gelooft heilig in het heil van de technologische mogelijkheden. Bezwaren dat computergebruik eigen fouten oproept, fouten die zich veel grootschaliger vermenigvuldigen, ontraceerbaar en onuitwisbaar zijn, wil men niets van weten. Net zo min als van de gevaren van fraude en identiteitsdiefstal.

De regering wil van iedere burger zoveel mogelijk gegevens vastleggen. Internationaal onderzoek toont aan dat Nederland uiterst slecht scoort op het gebied van de bescherming van de persoonlijke vrijheid van de burgers en steeds verder afglijdt naar een totalitair staatsbestel. De overheid heeft de banken hierin een grote rol toebedeeld. Teksten van het ministerie van Financiën met de titel ‘Wetsvoorstel tot wijziging van de WID, ten behoeve van het sluitend maken van het identificatiesysteem', laten wat dat betreft weinig aan de verbeelding over.

Ook de circulaire van DNB van 15 juni 2006 onthult de ware reden van de identificatieactie met de aanduiding dat DNB in samenwerking met de VNB beogen om ‘ tot een WID- conformiteit in het klantbestand van de banken te komen'.

Door banken de beschikking te geven over alle persoonsgegevens uit de gemeentelijke basisadministratie worden zij een verlengstuk van de politie en Justitie.

De banken zijn net als iedere andere instelling of bedrijf wat gegevens over mensen vastlegt, sinds de invoering van de Wet Vorderen Gegevens in 2005, verplicht om - ook van mensen die niet van een strafbaar feit worden verdacht - desgevraagd alle gegevens, zonder tussenkomst van de officier van Justitie of een rechterlijk bevel, aan politie of justitiediensten te leveren.

Om commerciële organisaties als banken steeds meer gegevens te laten vastleggen waar de opsporingsdiensten gebruik van kunnen maken is vanuit bezuinigingsoogpunt een bijzonder lucratieve wisseltruc. Niet voor niets staat de minister van Financiën, die kans zag staatszaken zo te regelen dat het overheidsbeleid door anderen werd uitgevoerd, zonder dat de overheid er een cent voor hoeft uit te geven, als handig en zuinig te boek. En was hij, omdat het mes aan twee kanten snijdt, na zijn aftreden uit publieke functie, uiterst welkom als chef-econoom bij de DSB bank.

 

 

Volkskrant Zalm naar DSB

Er spelen nog meer factoren een rol, zoals het feit dat er met digitalisering, verkoop van computersystemen, bewakingscamera's onderhoud van al die systemen en apparaten gigantisch veel geld verdiend wordt door bedrijven die onevenredig veel invloed hebben op het overheidbeleid en de bedrijfsvoering binnen instanties. De onbekendheid van de nieuwe mogelijkheden zijn er debet aan, dat de voorlichting over de voordelen van de systemen voornamelijk komen van de bedrijven, die die systemen ontwikkelen en leveren.

 

 

Zo kreeg IBM bijvoorbeeld zowel de raadgevende als de uitvoerende taak betreffende het digitaliseren van de belastingaangifte van werknemers. Een project wat nauw verweven is met de AWR en controlemogelijkheden via de bankadministraties.

Een automatiseringsproject dat de op een puinhoop blijkt uitgelopen waarbij alle gegevens zoekgeraakt waren. Waarvan niet IBN maar de overheid en de betrokken werknemers voor de meer kosten opdraaien zoals in april 2007 bleek.

Wat ook een rol bleek te spelen was de reikwijdte van de wetgeving in de Verenigde Staten.

In januari 2007 werd, door een furieuze voorzitter van het CBP, openbaar gemaakt dat de Nederlandse banken de nationale wetgeving aan hun laars lapten. Zonder de eigen regering, de betrokkenen en zonder de toezichthouders in kennis te stellen, verstrekten de banken hen op de Amerikaanse autoriteiten rechtstreeks transactiegegevens van hun klanten.

Het kwam er op neer dat de banken in de Europese Gemeenschap niet aan Nederlandse wetgeving voldeden maar onderworpen bleken te zijn aan de Amerikaanse Patriot Act.

Het CBP toonde zich furieus, maar de enige resultaten waren:

• Dat Bos (inmiddels de minister van Financiën) de Nederlandse ambassadeur in de VS instrueerde om aan de regering van de VS het verzoek door te geven of Amerikaanse financieel toezichthouders zich voortaan tot de officiële instanties willen wenden als ze gegevens willen hebben in plaats van rechtstreeks de banken te sommeren die gegevens te leveren.
• Dat de boetes voor banken die de wet overtreden omhoog gaan (al zijn de bedragen geen vergelijk met de sancties die op het weigeren aan aanmaningen door VS staan)en
• Dat de VNG op 17-4-2007 eenmalig een advertentie in de landelijke dagbladen plaatste waarin ze- op versluierde wijze- bekendmaakten dat ze zich in bepaalde situaties gedwongen zagen om vertrouwelijke gegevens van hun klanten aan anderen te verstrekken (en glashard stellen dat 'de regels die van toepassing zijn op dit gegevens verkeer zijn terug te vinden in de door het CBP goedgekeurde Gedragscode Verwerking Persoonsgegevens' daarmee suggererend dat de banken volgens goedkeuring van CBP zouden werken).

 

 

 

 

 

De uitwisseling van transactiegegevens die in de VS die gebruikt worden om van mensen een ‘profieldossier' aan te leggen met een ‘terrorisme score' gaat ongestoord door.

Op de vraag die het Meldpunt Misbruik Identificatieplicht voorlegde aan de minister van Financiën en aan de Europese Commissie of zij wisten of wilden onderzoeken of banken met de gulle doorgifte van vertrouwelijke informatie van hun klanten wellicht ook de ingescande identiteitsbewijzen doorstuurden, kwam nooit antwoord.

Als banken worden opgekocht door banken in de VS, in Groot-Brittannië, in China of in IJsland worden de persoonsgegevens uit de bankadministratie mee verkocht, niemand kan meer zicht houden op waar zijn gegevens staan geregistreerd wie er toegang tot heeft en wat ermee gebeurt.

Wat kunt u doen?

De bescherming van de privacy van de mensen die klant zijn bij een van de grote banken in ons land, is noch voor de banken, noch voor de overheid of het CBP belangrijk genoeg om mensen te steunen die het inscannen en digitaal opslaan van hun identiteitsbewijzen onacceptabel vinden. U zult dus zelf voor uw rechten moeten opkomen.

Het enige verweer dat mensen hebben is óf via juridische weg bij het bestuur van de bank afdwingen dat hun identiteitdocument niet mag worden ingescand en men gewoon via de ouderwetse manier mag voldoen aan de identiteitseisen van de wetgeving, óf naar een andere bank overstappen.( Triodos en ASN bank trekken veel nieuwe klanten op deze manier)

Het is een tijdrovende bezigheid voor iemand die probeert zijn recht op privacy te beschermen. De tegenstanders zijn machtig. Men moet het opnemen tegen banken die niet willen afstappen van de ingezette digitalisering van hun klantbestand, en tegen de regering die in januari 2005 bij monde van minister Zalm liet weten dat ‘het weliswaar allemaal onduidelijk geregeld was', maar dat hij de praktijk achteraf dacht te kunnen regelen via een Europese witwaswet.

Toch denken de mensen van het Meldpunt Misbruik Identificatieplicht dat het heel belangrijk is dat mensen blijven opkomen voor de bescherming van hun persoonsgegevens. Wie toelaat dat zijn persoonsgegevens overal geregistreerd en gecontroleerd worden offert zijn persoonlijke vrijheid op. Vrijheden die zomaar niet terug te veroveren zijn.

Zeker anderhalf miljoen mensen pleegden lijdzaam verzet door geen gehoor aan de oproep van de bank te geven. Wie stug volhield om geen sjoege te geven op alle oproepen hoort daar inmiddels niks meer van en er is van niemand een rekening geblokkeerd.

Wie wel zo dom of braaf was om zich opnieuw te laten identificeren doet er goed aan om na te gaan of zijn identiteitsbewijs is ingescand en digitaal opgeslagen in de administratie van de bank. Wie zonder voorafgaand expliciet toestemming heeft verleend om zijn of haar gegevens te laten inscannen is wettelijk gerechtigd om te eisen dat die gegevens uit de digitale bestanden worden verwijderd omdat ze er onrechtmatig en onder valse voorwendselen in zijn opgenomen.

Het loont om goed geïnformeerd te zijn zo blijkt uit meldingen zoals die van G.S. lees...

En het leidt tot succes als men de energie opbrengt om zich tegen het onrechtmatig handelen van de bank te verzetten, zo blijkt uit de toezegging van ABN-AMRO om reeds ingescande gegevens te verwijderen. lees...

 

Voorbeeldbrieven om scan van ID-bewijs te weigeren of laten verwijderen. hier

Op verzoek helpen mensen van het Meldpunt misbruik ID-plicht bij het opstellen van brieven.

 

Relevante wetten:

-Wet Identificatie Dienstverlening (WID)
-Wet Bescherming Persoonsgegevens

-Melding Ongebruikelijke Transacties MOT

-Algemene Wet Rijksbelastingen:

-Paspoortwet

-Universele Verklaring van de Rechten van de Mens (UVRM)
-Wet bevoegdheid Vorderen Gegevens: 16-7-2005

-Patriot Act

Relevante adressen:

College Bescherming Persoonsgegevens
Postbus 93374, 2509 AJ  Den Haag
Tel: 070-8888500
Fax: 070-8888501
Dit e-mailadres is beveiligd tegen spambots, u heeft JavaScript nodig om het te kunnen bekijken

Autoriteit Financiële Markten (AFM)

Gedragstoezichthouder op de Nederlandse Financiële markten, die er op let, dat alle partijen zich aan de relevante wet- en regelgeving houden.

Postbus 11723

1001 GS  AMSTERDAM

Tel: 020-5535200

Nederlandse Vereniging van Banken
Singel 236, 1016 AB  Amsterdam

Postbus 3543, 1001 AH  Amsterdam
Tel: 020-5502888

Fax: 020-6239748

De Nederlandsche Bank (DNB)
Postbus 98

1000 AB  Amsterdam

Tel: 020-5249111
Telex: 11355 DNBAM NL
Fax: 020-5242500

 

VNO-NCW

de grootste ondernemingsorganisatie van Nederland

de Malietoren

Postbus 93002, 2509 AA, Den Haag

Tel: 070-3490349

Consumentenbond

Postbus 1000. 2500 BA, Den Haag
Tel: 070-4454545

 

Directie Postbank

Antwoordnummer 230,1000 XA , Amsterdam

 

Directie ABN-AMRO

Postbus 6669,1000 EG Amsterdam

 

Directie SNS Bank NV

Croeselaan 1,3521 BJ , Utrecht

 

Directie Rabobank

Postbus 17100,3500 HG,  Utrecht