Valt de inzet van gezichtsherkenning door een bank wel onder de uitzondering in artikel 29 Uitvoeringswet AVG?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: De Knabbank wil dat alle klanten de app gaan gebruiken en wil van alle klanten een gezichtsscan afnemen via de app. Nu vraag ik me af of dat wel mag, gezien de AP recent stelde dat het verwerken van biometrisch gegevens voor identificatie "in beginsel" verboden is.
Antwoord: Dat online bank Knab gezichtsherkenning gebruikt, is sinds juli bekend. De bank gaat de gezichtsscan ook inzetten om de identiteit te verifiëren van nieuwe klanten die een rekening openen. Doel van deze technologie is vooral het vermijden van tokens, plus toegenomen snelheid bij het inloggen.
De gezichtsscan wordt aan je toestel gekoppeld, en daaraan hangt een koppeling met je identiteitsbewijs. "Deze scan is om te checken of jij echt degene bent die op de foto van je ID-bewijs staat." zo meldt men vervolgens.
De AP heeft recent gezegd dat gezichtsherkenning als technologie zeer dubieus is, omdat biometrie in principe niet toegestaan is onder de AVG. Dat 'herkennen' moet je breed opvatten: het gaat niet alleen over matchen tegen een database met NAW-gegevens of iets dergelijks. Ook enkel geautomatiseerd constateren "die was hier gisteravond ook" of "die lijkt op foto 31337 uit ons bestand overlastplegers" is al een vorm van 'herkennen', waarmee je camerabeelden tot bijzondere persoonsgegevens verworden.
Enige ruimte wordt gegeven door de uitzondering uit artikel 29 Uitvoeringswet: identificatie van de betrokkene die noodzakelijk is voor authenticatie of beveiligingsdoeleinden. En natuurlijk, het doel van deze identificatie (inclusief de 31337-constatering) is voor beveiliging, je wilt overlastplegers, lokaalverbodshouders et cetera niet binnen hebben. Maar is er een nóódzaak? Die vraag is veel lastiger want dat is een hele hoge lat.
De AP gaat met haar recente stelling nog een stapje verder:
Het moet daarbij wel gaan om een zwaarwegend algemeen belang. Dat is bijvoorbeeld de beveiliging van een kerncentrale. Maar de beveiliging van bijvoorbeeld een supermarkt is niet zó belangrijk dat u daarvoor biometrische gegevens mag verwerken.
Bij een bank zou je kunnen zeggen dat hun beveiliging ook wel een eind in de buurt komt van een kerncentrale. (Het is vast flauw om te zeggen dat je bij een kerncentrale liever een portier hebt dan een gezichtsscanner, maar goed ik ben geen CISO.) Dus dan zou het bij een bank moeten kunnen.
Daar komt nog bij dat een bank de wettelijke plicht heeft om de identiteit van haar klanten te verifiëren. Als je zoals Knab je klanten alleen op afstand bedient, dan zijn er weinig andere opties dan een gezichtsverificatie op basis van foto en identiteitsbewijs. Dan is het belang natuurlijk al helemaal gegeven.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Dat kan anders; 'identificeren op locatie'. Knap kan een bedrijf inhuren dat jouw identiteit kan vaststellen. Mijn inziens dan ook geen gegronde reden.
Heb dit ondervonden bij het openen van een rekening in het buitenland, werkt an sich prima. Alleen neemt het betreffende bedrijf privacy ook niet bijster serieus. Dat - dit soort - bedrijven klakkeloos data delen met Google gaat bij mij niet in.
in de context van dit verhaal kan ik het daar niet mee eens zijn, het gaat om toegang tot de rekening en gegevens van de individuele klant, niet om root access tot het diepste van de bank-systemen.
Ik begrijp ook de beredenering: "dan zijn er weinig andere opties dan een gezichtsverificatie op basis van foto en identiteitsbewijs" niet helemaal.
Een bank heeft de plicht om de identiteit van zijn klanten vast te stellen. Dat gebeurt doorgaans 1-malig en daarna zijn er tal van mogelijkheden om een klant zonder biometrische gegevens te identificeren?
Aangezien je toch tijd hebt om te posten, maak je eens nuttig en ZOEK HET UIT , Maak een lijst van welke banken welke methode(n) gebruiken om de identiteit van een persoon te verifiëren bij het openen van een nieuwe rekening .
Ik neem aan dat iedereen wel snapt dat gekeken moet worden of degene die de rekening opent ook de persoon is van wie het identiteitsbewijs overlegd wordt.
Eerste zal ik voor je doen :
ING -vereist Android smartphone MET CAMERA en NFC .
Of als dat echt niet kan (oa voor mensen zonder NL paspoort) - afspraak op een ING kantoor .
(ja - dat is een voordeeltje van een bank die nog wat kantoren heeft ).
https://www.ing.nl/particulier/betalen/bankrekeningen/mobiel-rekening-openen/index.html
in de context van dit verhaal kan ik het daar niet mee eens zijn, het gaat om toegang tot de rekening en gegevens van de individuele klant, niet om root access tot het diepste van de bank-systemen.
Ik begrijp ook de beredenering: "dan zijn er weinig andere opties dan een gezichtsverificatie op basis van foto en identiteitsbewijs" niet helemaal.
Een bank heeft de plicht om de identiteit van zijn klanten vast te stellen. Dat gebeurt doorgaans 1-malig en daarna zijn er tal van mogelijkheden om een klant zonder biometrische gegevens te identificeren?
Ja - de vraag/antwoord is nogal onduidelijk , maar volgens mij gaat dat ook (alleen) om het openen van de rekening - of een inhaalslag die een aantal banken moeten maken daarin.
In de link van Arnout naar radar is ook (vooral) sprake van het openen van een nieuwe rekening, of het koppelen van een extra of vervangende telefoon.
De optie om transacties te valideren op basis van foto-herkenning wordt in het radar artikel alleen zijdelings genoemd.
Daarvoor hebben banken wel ruimte in tokens of pincodes. (of het gebruik van biometrie _door de telefoon_ )
Aangezien je toch tijd hebt om te posten, maak je eens nuttig en ZOEK HET UIT , Maak een lijst van welke banken welke methode(n) gebruiken om de identiteit van een persoon te verifiëren bij het openen van een nieuwe rekening .
Ik neem aan dat iedereen wel snapt dat gekeken moet worden of degene die de rekening opent ook de persoon is van wie het identiteitsbewijs overlegd wordt.
Eerste zal ik voor je doen :
ING -vereist Android smartphone MET CAMERA en NFC .
Of als dat echt niet kan (oa voor mensen zonder NL paspoort) - afspraak op een ING kantoor .
(ja - dat is een voordeeltje van een bank die nog wat kantoren heeft ).
https://www.ing.nl/particulier/betalen/bankrekeningen/mobiel-rekening-openen/index.html
ABN, ASN, Binck, Giro,Triodos, allemaal kopie paspoort uploaden/opsturen klaar. Dus noodzaak gezicht scan ontbreekt, ook voor Knab. Dat ING ook een notoire privacy schender is doet daar niets aan af.
Aangezien je toch tijd hebt om te posten, maak je eens nuttig en ZOEK HET UIT , Maak een lijst van welke banken welke methode(n) gebruiken om de identiteit van een persoon te verifiëren bij het openen van een nieuwe rekening .
Ik neem aan dat iedereen wel snapt dat gekeken moet worden of degene die de rekening opent ook de persoon is van wie het identiteitsbewijs overlegd wordt.
Eerste zal ik voor je doen :
ING -vereist Android smartphone MET CAMERA en NFC .
Of als dat echt niet kan (oa voor mensen zonder NL paspoort) - afspraak op een ING kantoor .
(ja - dat is een voordeeltje van een bank die nog wat kantoren heeft ).
https://www.ing.nl/particulier/betalen/bankrekeningen/mobiel-rekening-openen/index.html
ABN, ASN, Binck, Giro,Triodos, allemaal kopie paspoort uploaden/opsturen klaar. Dus noodzaak gezicht scan ontbreekt, ook voor Knab. Dat ING ook een notoire privacy schender is doet daar niets aan af.
Plus, de gezichtsscan via een telefoon is notoir onbetrouwbaar. Al met twee telefoons getest (Apple, OnePlus) waarbij het toestel van mijn ene zoon door de andere kon worden ontgrendeld (nee,het is geen tweeling, lijken niet als 2 druppels water op elkaar en schelen 2,5 jaar in leeftijd).
euh.. ja ? dat is precies mijn punt. Datgene wat in italic staat is een quote van het antwoord van Arnoud waar ik vraagtekens bij stel....
Of als dat echt niet kan (oa voor mensen zonder NL paspoort) - afspraak op een ING kantoor .
(ja - dat is een voordeeltje van een bank die nog wat kantoren heeft ).
https://www.ing.nl/particulier/betalen/bankrekeningen/mobiel-rekening-openen/index.html
ABN, ASN, Binck, Giro,Triodos, allemaal kopie paspoort uploaden/opsturen klaar. Dus noodzaak gezicht scan ontbreekt, ook voor Knab. Dat ING ook een notoire privacy schender is doet daar niets aan af.
Net alsof dat dan veilig is.
Hoe controleren ze trouwens of dat opgestuurde kopie wel van jou is?
En dan hebben we het al helemaal niet over al die plaatsen waar dan zo'n kopie rondzwerft. Die staat op de telefoon, in de backup, ergens op een mail server (of meer) en uiteindelijk bij de bank (waar die thuishoort).
Peter
Aangezien je toch tijd hebt om te posten, maak je eens nuttig en ZOEK HET UIT , Maak een lijst van welke banken welke methode(n) gebruiken om de identiteit van een persoon te verifiëren bij het openen van een nieuwe rekening .
Ik neem aan dat iedereen wel snapt dat gekeken moet worden of degene die de rekening opent ook de persoon is van wie het identiteitsbewijs overlegd wordt.
Eerste zal ik voor je doen :
ING -vereist Android smartphone MET CAMERA en NFC .
Of als dat echt niet kan (oa voor mensen zonder NL paspoort) - afspraak op een ING kantoor .
(ja - dat is een voordeeltje van een bank die nog wat kantoren heeft ).
https://www.ing.nl/particulier/betalen/bankrekeningen/mobiel-rekening-openen/index.html
ABN, ASN, Binck, Giro,Triodos, allemaal kopie paspoort uploaden/opsturen klaar. Dus noodzaak gezicht scan ontbreekt, ook voor Knab. Dat ING ook een notoire privacy schender is doet daar niets aan af.
Waarom post je bullshit ?
Waarom beweer je dat je bij de ABN met alleen het opsturen van een kopietje paspoort een rekening kunt openen ?
Waarom kijk je niet bij de ABN om te lezen hoe je rekening opent ? Dat is NIET met alleen opsturen van een kopietje paspoort .
Dat is of via een app (en - zo te zien elders ook met een foto) , of met een huisbezoek die kijkt of je smoel en paspoort bij elkaar horen ).
Ga de rest van je beweerde bullshit maar nalopen, want _alleen_ kopietje van een paspoort voldoet gewoon niet om een rekening te openen.
Als dit hun aanpak is, dan is het een dubieuze aanpak die geen recht doet aan de identificatieplicht vanuit de WWFT.
Enfin, los daarvan is het wellicht interessant deze jurisprudentie eens door te lezen. Hier ging het mis op de daadwerkelijke identificatie: https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBZWB:2020:4817
Met bovenstaande zeg ik overigens niet dat ik blij wordt van de aanpak van Knab, maar dat is een mening die los staat van de wet.
Het is toch nog steeds zo dat een bank afhankelijk is van zijn klanten en niet andersom, dus gewoon andere bank zoeken.
Aangezien je toch tijd hebt om te posten, maak je eens nuttig en ZOEK HET UIT , Maak een lijst van welke banken welke methode(n) gebruiken om de identiteit van een persoon te verifiëren bij het openen van een nieuwe rekening .
Ik neem aan dat iedereen wel snapt dat gekeken moet worden of degene die de rekening opent ook de persoon is van wie het identiteitsbewijs overlegd wordt.
Eerste zal ik voor je doen :
ING -vereist Android smartphone MET CAMERA en NFC .
Of als dat echt niet kan (oa voor mensen zonder NL paspoort) - afspraak op een ING kantoor .
(ja - dat is een voordeeltje van een bank die nog wat kantoren heeft ).
https://www.ing.nl/particulier/betalen/bankrekeningen/mobiel-rekening-openen/index.html
ABN, ASN, Binck, Giro,Triodos, allemaal kopie paspoort uploaden/opsturen klaar. Dus noodzaak gezicht scan ontbreekt, ook voor Knab. Dat ING ook een notoire privacy schender is doet daar niets aan af.
Waarom post je bullshit ?
Waarom beweer je dat je bij de ABN met alleen het opsturen van een kopietje paspoort een rekening kunt openen ?
Waarom kijk je niet bij de ABN om te lezen hoe je rekening opent ? Dat is NIET met alleen opsturen van een kopietje paspoort .
Dat is of via een app (en - zo te zien elders ook met een foto) , of met een huisbezoek die kijkt of je smoel en paspoort bij elkaar horen ).
Ga de rest van je beweerde bullshit maar nalopen, want _alleen_ kopietje van een paspoort voldoet gewoon niet om een rekening te openen.
Ik heb een rekening bij de ABN, ik heb alleen een kopie geupload om te identificeren. Let even op ipv "bullshit" te gaan schreeuwen, de discussie gaat niet allen over nieuwe klanten, maar over alle klanten, ook bestaande.
Dat kan anders; 'identificeren op locatie'. Knap kan een bedrijf inhuren dat jouw identiteit kan vaststellen. Mijn inziens dan ook geen gegronde reden.
Heb dit ondervonden bij het openen van een rekening in het buitenland, werkt an sich prima. Alleen neemt het betreffende bedrijf privacy ook niet bijster serieus. Dat - dit soort - bedrijven klakkeloos data delen met Google gaat bij mij niet in.
Een persoon inhuren (hoe betrouwbaar is die) is natuurlijk behoorlijk disproportioneel naar de huidige stand van de techniek. Laat de GDPR nu net dat disproportionele en stand van de techniek in paragrafen hebben staan. Nee een trekschuit inzetten zou ook kunnen (zou zo maar vanuit het AP kunnen komen) maar is niet echt naar de huidige stand van de techniek.
Desalniettemin: inderdaad, ja.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security-engineer IAM
Krijg jij energie van technische vraagstukken op het vlak van Security en Risk? En steek je graag je handen uit de mouwen om zelf een bijdrage te leveren aan een veilige digitale omgeving waarin de data en euro’s van onze klanten worden beheerd. Dan komen we graag met jou in contact.
Senior Security Consultant
Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.
