Ik heb inmiddels vernomen van Wouter Aukema op twitter waukema dat ook rabobank dit grapje uithaalt.

Hier zijn tweet :

Beste Rabobank

ik ben vast niet de 1e die hier over valt:

U dwingt mij mijn iPad app te updaten, op zich prima. Maar dan blijkt dit helemaal geen update; U wilt ALLES van mij hebben.

Een scan van mijn gezicht?!

No way dat jullie mijn gezicht mogen hebben. Sterker nog, ik verbied jullie data over mij te verzamelen buiten datgene wat strikt noodzakelijk is voor onze bank-activiteiten cq. relatie.

En ja, pas na mijn stomme verbazing zie ik in het piep-klein, helemaal onderaan de 'ouderwetse' optie.

Wat is er structureel nu anders aan je vraag in deel 1.

En ja dat rabobank biometrie als optie heeft dat was me bekend maar dat kan je weigeren.
Ze hebben geen wettelijke verplichting om biometrische data te moeten verwerken en zoals je ook begrijpt is biometrische data het hoogste niveau van persoonsgegevens en onderhevig aan veel strengere richtlijnen.

De enige die mijn biometrische data ooit krijgt en heeft zijn de DC's waar ik mee werk waar ik fysiek door de beveiliging heen moet. Daar accepteer ik het benodigde beveiliging niveau omdat ze mijn eigen data huisvesten die ik ook verwacht onder max fysieke security staat.

Maar wat is nu de status bij ASN heb je reeds bezwaar ingediend en gewezen op hun eigen beleid op de site of zit er geen voortgang in?

Volgende keer graag zelf het URL copy pasten:
https://x.com/waukema/status/1942968308539523522

Samengevat, je wilt iets dat afwijkt van de massa / bent verontwaardigt dat dat kleinere lettertjes heeft.

Maarre, toch fijn, hè, dat je niet geforceerd wordt een smartphone te gebruiken.

In hetzelfde straatje zit de iDIN check van Unive. Ik wil geen gebruik maken van iDIN, dus ik ben met mijn paspoort langs het lokale kantoor gegaan waar men geen idee had hoe ze dat nou toch zouden moeten administreren. Ik heb maar gezegd dat ik me aan mijn wettelijke plicht heb gehouden en hoe zij dit nu gaan afhandelen is aan hun. Toch apart dat de persoonlijke interactie met klanten volledig weg wordt gehaald uit de systemen.

@Ronaldinho, dan doe je het toch lekker niet?

Laat je ons even weten wat uiteindelijk het gevolg is?

Nog een leuke voor je. Mijn bank (triodos) weigert te werken met iDIN waardoor ik juist weer geen gebruik kan maken van pakket bij afhaalpunt laten bezorgen bij PostNL bijvoorbeeld en ofc ook geen alternatief mogelijk.
https://www.triodos.nl/veelgestelde-vragen/kan-ik-idin-gebruiken?id=4de127e85eee

We staren ons helemaal dood op schijnveiligheid in dit land.

Heb je al contact met ASN gehad en ze gevraagd of er een alternatieve manier is om dit te regelen? Of dat je dit uit kan stellen tot de kantoren in september de controle kunnen uitvoeren?

Goede reacties op dit moment onderaan de oude draad.

https://security.nl/posting/895679: Anoniem (vandaag, 10:37): vanaf eind sept. zou identiteits-verificatie ook kunnen in ASN filialen;

https://security.nl/posting/895704: Anoniem (vandaag, 11:39): uitstel zou mogelijk zijn voor mensen die eerder zouden moeten authenticeren.

Overigens verwacht ik dat in ASN-filialen een scan van zowel de vóór als achterzijde van elk identiteitsbewijs zal worden gemaakt. Zo'n scan of kopie (die eenvoudig vervalst kan worden, het zijn maar pixels), bewijst niets en is daarom disproportioneel - omdat het in verkeerde handen vallen daarvan tot grote risico's voor de bankklant leidt (dát op zich is absurd, maar wel de realiteit).

Kopie-ID: kap ermee https://security.nl/posting/827137.

Als er nog filialen in de buurt zijn te vinden. Er worden er een hoop gesloten ivm het alles van SNS rebranden naar ASN, die bij ons in de plaats is ook ondertussen weg. Betekent weer dat je een auto nodig hebt om bij het dichtsbijzijnde filiaal te komen; geen busverbinding en te ver om te fietsen.

Als (her-)identificatle zo belangrijk is, dan kunnen banken daarvoor gewoon wat personeel inhuren die bij de desbetreffende klanten langsgaan om dat te doen. Kunnen ze meteen het adres ook checken.
Probleem opgelost.

Ik zal je een geheim verklappen (niet doorvertellen, hoor!): ze hebben telefoon. Als je heel erg vreselijk goed zoekt kan het je zelfs lukken om hun telefoonnummer op hun website te spotten (onder Service en contact -> Contactmogelijkheden).

Weet je, er valt echt wel wat aan te merken op wat er allemaal gebeurt, mij zint het ook totaal niet dat ze maar doen alsof iedereen vanzelfsprekend een smartphone heeft (die ik niet heb). Maar je lost niets op door absurdistisch naar Zo Vreselijk Mogelijk toe te redeneren, alsof een bank geen telefoon en online contactmogelijkheden heeft dus in dit geval. Dan praat je jezelf alleen maar de put in, en daar word je zelf echt niet beter van.

Er komen er alleen maar meer bij
https://www.asnbank.nl/service/vind-een-asn-winkel.html

Waarbij ook weer bleek dat hij echt totaal geen idee heeft over zoveel dingen in het leven.

Hij ging goed af op Twitter.

Trap maar lekker in het marketingverhaal.

SNS en Regiobank wordt gerebrand naar ASN bank. Van de SNS kantoren worden er tussen de 64 en 84 gesloten, de rest wordt ASN. Van de Regiobank worden er ongeveer 200 gesloten, de rest wordt ASN. Dus ja, er komen in naam meer ASN vestigingen bij, maar het totaal aantal vestigingen van (voorheen de Volksbank) wordt gereduceerd met meer dan 250.

Bron: https://www.rtl.nl/nieuws/economie/artikel/5484265/volksbank-sluit-honderden-filialen-van-sns-bank-en-regiobank

Gezien de trend zal ook ASN (nu het geen staatsbank meer is) gewoon langzamerhand de meeste kantoren gaan sluiten.

Inderdaad kun je soms opbellen en krijg je iemand aan de telefoon "die daar niet over gaat" maar het zal "aankaarten"...

Jezelf heridentificeren via de telefoon. Veel succes.

Is dat je concrete ervaring met ASN of neem je aan dat het wel zo zal gaan? Indien het laatste: lees de tweede alinea van waar je op reageert eens, over naar Zo Vreselijk Mogelijk toe redeneren.

Nee hoor die verbind je gewoon door en dat werkt prima. De wereld hoeft niet perse voor iedereen 100% passend te zijn, de mensen die hier rondlopen hebben zelf ook nog een eigen verantwoordelijkheid.

Dank! En de mensen die liever in de auto stappen uiteraard ook veel succes gewenst.

De eerste zin waar je op reageerde ging over contact opnemen.

Het is niet zo dat er nog nooit andere mogelijkheden bedacht zijn om je te identificeren. Alweer een flink aantal jaar geleden heb ik een rekening bij Triodos geopend, een bank zonder kantorennetwerk, en daarvoor kon ik me bij het postagentschap in de Primera in mijn buurt legitimeren. Toen ik, ruim 2 jaar geleden, een rekening opende bij ABN-AMRO kwam er, zonder dat ik daar moeilijk over heb moeten doen, iemand bij me thuis van een bedrijf dat ze daarvoor inhuurden.

Ik weet niet of ASN dit soort mogelijkheden ondersteunt, voor mensen zonder smartphone en geen ASN-winkel op een redelijke afstand, maar het is me sinds banken smartphone-apps zijn gaan inzetten hiervoor duidelijk dat banken typisch niet met alle mogelijkheden te koop lopen die ze ondersteunen omdat ze hun klanten liever naar de voor hun goedkopere mogelijkheden sturen. Erachter komen wat er werkelijk mogelijk is begint met contact opnemen.

Nee, helemaal niet opgelost.
Hoe weet of die persoon aan de deur betrouwbaar is?
Het kan wel een oplichter zijn.
Dan ga ik liver langs bij een filiaal.

Met deze gaat dat sowieso niet lukken:

https://dutchtelephones.com/wp-content/uploads/2016/07/ptt-nsem-t65-tdk-druktoetstelefoon.jpg

Banken bulken van het geld. Elk jaar weer lees je hoeveel winst zij hebben gemaakt. Honderden miljoenen. Investeer maar in personeel dat op pad gaat naar klanten die zich moeten heridentificeren. Maar neen hoor. Klanten verplichten gebruik te maken van per definitie een onveilige authenttcatiemethode. Klantvriendelijkheid? Banken kennen maar een vorm van vriendelijkheid... die komt niet verder dan hun geldpakhuis à la Dagobert Duck.

Nee.

Maar je kunt buiten ook je paard niet meer vastleggen aan een balk. Sommigen `zeggen dan dat we worden gepushed om met de fiets te gaan met alle lekke banden als gevolg.

Ik heb me een keer thuis geïdentificeerd via een daarin gespecialiseerd bedrijf dat de bank inschakelde. Dat risico werd opgelost met duidelijke en gedetailleerde informatie vanuit zowel de bank als dat bedrijf zelf, waaronder een foto van degene die langs zou komen en een pincode die die persoon moest kunnen noemen specifiek voor dat bezoek, naast het tonen van zijn legitimatie. Ik kan me niet meer alle details herinneren, maar mijn indruk was dat ze het proces behoorlijk grondig hadden dichtgetimmerd.

Hoewel er altijd mensen zijn die er in kunnen trappen, is het m.i. toch verstandiger als banken zouden stellen:


Het risico dat een crimineel getipt wordt, of dit op andere wijze te weten komt, en eerder dan de legitieme verifieerder voor de deur staat, is m.i. veel te groot - met alle (potentieel zeer grote) schade voor rekening van de bankklant.

Dat naast de groep mensen die, als banken dit vaker gaan doen en die werkwijze breder bekend wordt, er in gaat trappen als er, totaal onverwacht of na een nep-aankondiging (*), een "bankmedewerker" voor hun deur staat, die zegt dat hun identiteitsbewijs gescand moet worden.

(*) Bijv. middels een aangetekende brief (zie in https://security.nl/posting/895172).

Je kunt simpelweg niet van elke Nederlander verwachten dat zij zorgvuldig de identiteit van de verifieerder kunnen of zelfs durven vast te stellen vóórdat zij hun identiteitsbewijs uit handen geven (en mogelijk laten scannen en/of de chip uitlezen).

Zoals ik wel vaker schrijf: de kracht van authenticatie van de verifieerder middels een vertrouwde locatie (zoals een bankfiliaal of een gemeentehuis) wordt enorm onderschat.

Meer info (lang): https://security.nl/posting/792391/Authenticatie+en+impersonatie.

Als er steeds minder mensen naar die filialen komen, dan ligt dat inderdaad voor de hand. Banken zouden de handen ineen kunnen slaan (zoals bij de Geldmaat) en authenticatie-kantoren op kunnen zetten. Dat is dan ook een prima plek om nieuwe bankpassen/creditcards af te halen (om brievenbus-hengelen en andere vormen van oplichting te helpen voorkomen).

Wellicht beter en logischer: als de overheid, i.h.k.v. de Wwft, eist dat mensen zich authenticeren, waarom vindt dat dan niet plaats in gemeentehuizen - door ter zake kundige medewerkers en een proces waarvan de handelingen zorgvuldig worden gelogd? Niet door overal kopieën van te maken, maar bijv. door logging van cryptografische hashes van de info uit de chip en van de MRZ (Machine Readable Zone) - die, door geautoriseerden, ook bij de https://rvig.nl opgevraagd zouden moeten kunnen worden.

Als die logging met betrouwbare timestamps wordt aangevuld en het geheel digitaal wordt ondertekend (vergelijkbaar met een blockchain), wordt manipulatie van die logs achteraf een stuk lastiger.

Dat kun je regelen met speciale codes en dergelijke.
Bij Nationale Nederland was dat indertijd in ieder geval goed geregeld in mijn geval.

Het probleem is dat dit niet waar is.

Als ik verificatie doe via AMP Groep in opdracht van de bank dan komt er wel degelijk iemand langs bij mij voordeur die vervolgens mijn ID scanned via een scanner in een koffer.

Dus dan moet je daar weer uitzonderingen op zetten in je algemene waarschuwing beleid en dat zet geen zoden aan de dijk.Wat zou helpen is als elke bank uniform handeld uniforme mogelijkheden biedt en uniform communiceert. Dan kan je wel algemene waarschuwing beleid effectief maken op de meeste eigenwijze personen na of die eigenlijk niet zonder begeleiding horen te bankieren. Gaan ze nooit doen is wensdenken maar het zou helpen.

Hoewel het langsturen van een persoon naar mijn ervaring redelijk veilig kan gebeuren, ben ik het met je eens dat iemand langsturen wat dubieus is omdat daardoor misvattingen kunnen ontstaan waar criminelen misbruik van kunnen maken.
Net zoals ik het dubieus vind dat je rente over je spaargeld moet betalen omdat de bank dat geld elke dag ergens anders moet stallen. Dan vind ik het ook niet zo vreemd dat er mensen zijn die geloven dat ze hun geld naar een andere rekening moeten overhevelen om dat veilig te stellen...

Dat weet ik (zie https://security.nl/posting/895202), maar dat is dus hartstikke onverstandig.

Niet voor ASN + aandeelhouders, maar voor haar klanten en voor iedereen in Nederland die, al dan niet "betrouwbaar" aangekondigd, iemand aan de deur krijgt die claimt, voor welke organisatie dan ook (inclusief de Politie), het identiteitsbewijs van de betrokkene te moeten scannen en/of de chip uit te moeten lezen.

Iets dat, dankzij ongebreidelde digitalisering, met de dag risicovoller wordt: voor burgers; niet voor de bezuinigende organisaties.

Ook de voorlichting van de politie zelf laat het afweten:

"Maar de politie komt nooit langs om waardevolle spullen zoals sieraden, geld en bankpassen met pincodes op te halen", zegt coördinator senioren en veiligheid bij de politie, Sybren van der Velden Walda. De kans dat het om een babbeltruc gaat, is in dit soort gevallen dus heel groot."

Dit suggereert dat het dus toch kan voorkomen dat de politie daarvoor langs komt.
Anders had er bijvoorbeeld gestaan:
Het gaat in die soort gevallen altijd om een babbeltruc!

Bron:
https://nos.nl/artikel/2574624-aantal-incidenten-van-oplichting-door-nepagenten-blijft-stijgen

Je graaft véél te diep.
Het is voldoende als een door de bank gecertificeerde medewerker op afspraak langskomt, zichzelf identificeert en vraagt om de foto op het ID bewijs van de klant te vergelijken met het gezicht van de klant en daarna een positieve aantekening maakt op een tweevoudig authenticatiebewijs, handtekeningetjes erop en de copie daarvan, met behulp van carbonpapier doorgedrukt vanaf het origineel voor de bank. is dan voor de klant.

Hoe simpel kan het zijn.

Analoog leren 'omdenken' is, merk ik nogaleens, een brug te ver geworden voor de modere Homo Digtales.

@ A.P. Molenaar: heb je wel eens overwogen om politicus te worden? De meesten daarvan hebben ook nul inlevingsvermogen.

Typerende minachtende opmerking van de Homo Digitalis, waarvan jij hier wel dé exponent bent. Jij kunt jezelf dus niet afvragen: Als de digitale techniek (nog) niet bestond, hoe werd deze eis vanuit de overheid dan aangepakt door banken?' Dat is gezien jouw reactie hier jouw zwakte in dit kader: niet meer kunnen brainstormen over 'analoge' vormen van 'mitigaties'.
Ziedaar: de zonder digitale technieken uit het veld geslagen hulpeloze mens.

Huh?

Ik pleit hierboven notabene voor analoge authenticatie bij bankfilialen of gemeentehuizen, juist omdat medewerkers aldaar -in de analoge praktijk- door hun werkgever zijn gescreend en geauthenticeerd (ook als dat niet in 100% van de situaties goed gaat, levert dit -in de meeste gevallen- de minste risico's op voor burgers).

Dit omdat criminelen zich, in de analoge praktijk, zeer eenvoudig kunnen voordoen als een ander, op het moment dat zij zich melden aan de voordeur van minder sterk in hun schoenen staande burgers. Helaas zijn er steeds meer Nederlandse burgers die, in zo'n situatie, dusdanig onder druk gezet kunnen worden dat zij alles doen wat de crimineel hen vraagt.

De Politiewoordvoerder in https://nos.nl/artikel/2574624-aantal-incidenten-van-oplichting-door-nepagenten-blijft-stijgen drukt zich mogelijk wat onhandig uit, maar dit doet niets af aan een groeiend probleem.

Overigens ben ik ook niet altijd vies van digitale techniek, want in plaats van een "Kopie-ID" op te sturen (digitaal of per analoge post) stelde ik eerder (https://security.nl/posting/895363) DigiD voor als alternatief.

Niemand hoeft het met mij eens te zijn en/of mij aardig te vinden, maar waarom torpedeer je mijn voorstellen voor verbetering met valse argumenten?

Alhoewel het (dwz. iemand die langskomt) bij mij dus goed is gegaan (achteraf gezien!), deel ik jouw inzicht dat criminelen van deze werkwijze misbruik kunnen maken en betere manieren dan dat dus de voorkeur verdienen.

Ik word geagiteerd als iemand mij voor de voeten gooit: de suggestie om 'politicus te worden', zodat ik mij ook kan conformeren aan 0 inlevingsvermogen. Of waren dat niet jouw woorden?

De meeste burgers kunnen de identificatie van die gecertificeerde medewerker helemaal niet betrouwbaar uitvoeren. Die denken dan van: och het zal wel goed zijn, en zeggen: "komt u binnen!"

Het punt dat hier niemand 100% gelijk of ongelijk heeft.

Het feit is nu eenmaal dat de wereld digitaliseert. Het feit is ook de bevolking in de verschillende leeftijdscategorien toeneemt.
En dan is het ook nog een feit dat de standpunten van de bevolking onderling steeds vaker (en heftiger) bepaald word door geografie.

Dit alles betekent dat er geen eenduidige, 100% waterdichte, oplossing voor dit soort problemen bestaat. Dat betekent nog niet dat de dienstverlenende kant alles maar moet oplossen. Je toilet heeft een pot, maar dat betekent nog niet dat je huurbaas je vloer moet komen schoonmaken als jij als argument aanvoert dat die pot niet groot genoeg is. Mensen hebben ook nog een eigen verantwoordelijkheid.

Ik heb trouwens nog nergens gelezen dat iemand eigenlijk weet (daadwerkelijk vastgesteld, niet of ander soort vermoeden) wat de banken eigenlijk opslaan binnen de gezichtsherkenning. Voor hetzelfde geld is het gewoon een toets, en als die toets klopt komt er een groen vinkje, en slaan ze alleen dat groene vinkje op en niet de gezichtsscan.

Dat is namelijk precies ook hoe het werkt met de toegangspassen van banken.

Maar vanuit de Orwelliaanse aanhang is het verrukkelijk om op te voeren dat die banken jouw digitale gezicht commercieel vermarkten. Maar zolang niemand dit heeft vastgesteld is het idee van alleen dat groene vinkje nog steeds gewoon een reële optie.

@Erik,

Ten eerste boven alles: Mijn excuses.
Je voelde je terecht beledigd (neem ik aan) omdat ik mij onvolledig uitdrukte in de opmerking helemaal onderaan mijn eerste reactie op je. (zie: https://www.security.nl/posting/895725#posting896005
Ik had daarin duidelijk moeten maken dat ik dat in het algemeen bedoelde en niet gericht aan jou persoonlijk.

Terug naar het onderwerp: Inderdaad heb je gelijk dat banken in de uitvoering van deze overheidseis een persoonlijke benadering van de klant moeten doen – en niets anders! maar ik zie banken die overal filialen sluiten niet snel ‘heridentificatiepunten’ openen. Dat kostenplaatje zullen zij veel te hoog vinden in tegenstelling tot dat zij bulken van het geld met hun jaarlijkse winstoverschotten gezien de vaak exorbitante bonussen voor hun top bobo’s. Daar komt bij hoeveel dagelijkse heridentificaties zullen zij moet uitvoeren? Ik geloof niet dat het er honderden per week zijn per bankinstelling (ABN, ING etc.)

En van daaruit kom ik op de werkwijze die ik in gedachten heb. Een beetje uitgebreider benaderd zouden bankinstellingen – ik bedenk maar wat – per provincie enkele medewerkers kunnen specialiseren in het door de overheid geëiste identificatieproces.
Stel dat deze functionarissen (wat ik een reëel aantal vind) 5 tot 10 klanten per dag moeten bezoeken, lijkt mij het proces gezien het kostenplaatje ‘handelbaar’. i.t.t. het huren van altijd dure bedrijfsruimte welke ook nog van 09:00 uur tot 17:00 uur geopend moet zijn met het benodigde personeel, en dat nog los staande van de noodzakelijke beveiliging zoals brand- en inbraakmeldcentrale èn opvolging gedurende de nachtelijk uren. Daarbij de verzekeringen etc. etc.

Je bent niet de enige. Ik heb dezelfde mail ontvangen.

Bij mij zit de pijn in de volgende punten:
1) Onduidelijk aanleiding
2) Identificeren moet via een app
3) Dreigen met geen toegang bankrekening / opzeggen bankrekening

Ik heb juridische hulp ingeschakeld. De bank kan wel schermen met wetgeving, maar het lijkt mij dat in de wetgeving niet staat dat het identificeren verplicht moet via een app. En je kunt lijkt mij ook niet zomaar de bewijslast omkeren, en dan even een bankrekening opzeggen.

Inderdaad, zelfs die van een politieagent kun je zonder opleiding niet verifieren.
Dan moet je maar afgaan op het uniform of het feit dat er wapens gedragen worden die tegen jou gebruikt kunnen worden...

@Anoniem 12:12: dank voor de bijval!

@Anoniem 12:55: het gaat niet om gelijk hebben. Ook ik maak fouten, en met goede argumenten laat ik mij graag van mijn ongelijk overtuigen (dat zou beslist niet de eerste keer zijn). Maar als iemand reageert met "Je graaft véél te diep" en vervolgens mijn argumenten niet weerlegt, is er geen sprake meer van een zinvolle en leerzame discussie.

Dank! Bij deze mijn excuses voor de vergekijking met politici met nul inlevingsvermogen.

Inderdaad. Burgers die na het horen van de deurbel hun voordeur wijd opendoen en vervolgens oplichters van echte bankmedewerkers/politieagenten kunnen onderscheiden, én oplichters weg durven te sturen, bestaan. Zij zijn niet het probleem.

Mijn zorgen betreffen een vergrijzende en deels dementerende bevolking, mensen die zo lang "mogelijk" zelfstandig (en vaak alleen) "thuis" moeten blijven wonen. Bejaardenhuizen zijn wegbezuinigd en met de aangekondigde nieuwe bezuinigingen lopen de wachttijden voor verpleeghuizen alleen maar verder op. Dit naast een groep van (ook jonge) mensen "met een achterstand tot de samenleving" (o.a. ongeletterdheid) die kwetsbaar zijn doordat ze meestal afhankelijk zijn van de hulp van aardige mensen; zij zijn extra kwetsbaar voor oplichters die bijv. met valse pasjes zwaaien.

In https://security.nl/posting/895247 schreef ik eerder dat in https://www.asnbank.nl/identificeren.html twee mogelijkheden worden genoemd:

En Anoniem schreef later in https://security.nl/posting/895679 dat je vanaf eind september in ASN "winkels" kunt authenticeren. Ik vermoed dat de AMP Groep dan een klant armer is.

Als ASN tevens de digitale methode (met de toenemende mogelijkheden van AI steeds risicovoller (*) gepruts met foto's van je identiteitsbewijs plus een selfie opsturen) door DigiD vervangt, dan ben ik dik tevreden. Want dat lijkt mij voor iedereen zo veilig mogelijk - terwijl mensen die dat niet willen, de deur niet uithoeven.

(*) Niet voor de mensen die dit braaf, en naar eer en geweten, doen. Maar voor iedereen van wie een kopie-ID of scan in handen van criminelen is gevallen. Ook jouw ID-scans (evt. met losse BSN) kunnen in verkeerde handen zijn gevallen - zonder dat je dit weet. Paspoorten hebben niet voor niets echtheidskenmerken - die nooit voor 100% zijn terug te vinden in scans, die m.b.v. AI kunnen worden gewijzigd en zelfs verbeterd (bijv. scherper gemaakt). "VideoIdent" wordt met de dag onbetrouwbaarder.

Aanvulling 17:55, weet je nog? Als iemand zich meldt (dat was telefonisch, maar waarom zou dat niet gelden voor aan je voordeur), uit https://veiligbankieren.nl/actueel/start-campagne-veilig-bankieren/:
Dat wordt dan:

Argumenten, tegen of voor, of alternatieven die ik niet zie, lees ik graag!

@Anoniem 12:55 hier. Ik denk, als security professional én als ouder van een LVB kind, dat een algemene oplossing voor criminaliteit lastig word als deze doelgroepen onze maatstaf zijn. Hoezeer ik je hierin ook waardeer.

Ik denk zelf dat er doelgroepen blijven bestaan die hulp nodig hebben. Niet van de overheid maar van nabije familie, vrienden of mensen die het goed met hen voorhebben. Ik heb me bijvoorbeeld heel lang zorgen gemaakt over de sociale wereld van mijn dochter. Zij vind het prima om als ze vrij is van haar werk, de hele dag met haar kat op de bank naar reality series te kijken. Ik denk, vanuit mijn maatstaf, ga mensen ontmoeten. Zorg voor een sociale kring. Ga wandelen in een bos. Totdat iemand mij er op wees dat mijn dochter na 4 werk net zoveel mentale energie had verbrand als ik na een werkdag van 12 uur met veel verantwoordelijkheid.

En toen realiseerde ik me dat er een buitencategorie mensen is die niet ' te vangen' zijn in maatregelen tegen cybercrime. Die buitencategroe heeft hulp nodig. Dus als ouder heb ik er in geval voor gezorgd dat mijn dochter een aantal vertrouwelingen om zich heen heeft. Daar hoor ik niet bij en dat is ook prima. Als ouder van een volwassen kind heb je een andere rol.

Datzelfde geld voor jou ook tenopziichte van je ouders/vader/moeder. Zij zijn niet de maatstaf. Zij moeten op een andere manier geholpen worden.

Ik heb geen mailtje van de ASNbank ontvangen. En het heeft veel trekjes van een scam.
De identificatie is verplicht, maar volstaan kan worden met het tonen ven een IDD. Het opslaan van een kopie is niet nodig.
Ik heb geen smartphone, en ASNbank heeft nauwelijks filialen. En het onnodig opslaan van ID-kopie vertrouw ik in principe niemand toe.

Terzijde : de Rabobank had in het verleden de gewoonte om illegaal kopie-ID te eisen bij het inhuren van externen.
"Dat is ons beleid" kraaide de HR-muts.

Oh juist. Dus je hebt geen mailtje gehad, kt gewoon per ongeluk in dit topic zeilen in vind het een scam.

Ok.

Hopelijk update je ons wat je verzekeringsjurist zegt.

Mij lijkt het overigens dat de bank dat prima kan eisen.

Dat er meer mogelijkheden wettelijk volstaan wil helemaal niet zeggen dat de bank die ook allemaal _moet_ aanbieden.
Waar ze voor kiezen moet voldoen .

Klinkt als hetzelfde geneuzel van 'wettig betaalmiddel' . De winkelier mag gewoon kiezen grote couperus te weigeren, ook al zijn dat 'wettige betaalmiddelen' .

En een bank mag wel degelijk de relatie opzeggen als een klant niet (meer) voldoet of wil voldoen aan één van de algemene voorwaarden waar die klant mee akkoord gegaan is toen die klant werd.
Waarschijnlijk staat daar ergens een artikel tussen over bla bla 'indien op verzoek van de bank' .

Zo heel snel lezend denk ik dat dat art 22 en 23 van de av zijn.


Waarom ze het nu (opnieuw) nodig hebben is niet meteen duidelijk, maar daar speculeer ik (nogmaals) op feitelijk een interne migratie waardoor ze niet meer alles van iedereen goed beschikbaar hebben.

Maar goed - vrij duidelijk dat je akkoord gegaan bent met de mogelijkheid dat de relatie opgezegd wordt als jij gevraagde gegevens weigert of je eerdere toestemming intrekt .


Je mag ook gaan genieten van het privacy reglement van ze.

https://www.asnbank.nl/betalen/asn-bankrekening/voorwaarden-asn-bankrekening.html

DigID vond ik al een redelijke oplossing maar als ik wat verder nadenk, vind ik dat dit een taak is voor de instantie die over jou identiteit gaat door middel van paspoort, identiteitsbewijs, rijbewijs, BRP, VOG et cetera.
Dat wil dus zeggen het gemeentehuis annex stadskantoor.

Helaas zijn er mensen die 24x7 ondersteuning nodig hebben. Die groep is uiterst kwetsbaar als er geen verzorgende aanwezig is. Hoewel zij niet onder de groep vallen waar ik aan denk, profiteren zij wel - in de situatie dat zij even alleen gelaten worden (niet op hulp kunnen terugvallen) en een oplichter wacht met toeslaan tot zo'n moment.

Daarnaast zijn er ook geestelijk gezonde kinderen die oplichters met een overtuigend verhaal binnen kunnen laten.

Ik wil gewoon niemand aan mijn voordeur hebben die, in opdracht van een legitieme organisatie, van mij vraagt om -voor mij- risicovolle handelingen te verrichten. Dat vind ik de kat op het spek binden.

Ben je het met mij eens dat de risico's voor kwetsbare mensen aanzienlijk kleiner zijn als het initatief voor contact-opname bij hen ligt en zij, bij noodzakelijke risicovolle (voor hen) handelingen, al dan niet onder begeleiding, naar een (voor hen) bekend gebouw gaan waarvan je mag verwachten dat daar betrouwbaar personeel werkt? En zij niet zelf personen aan de deur moeten authenticeren (wat enorm lastig is en weinig zegt over de betrouwbaarheid van zo'n gezant), doch de werkgever de identiteit van haar personeel in een filiaal verifieert en toeziet op hun betrouwbaarheid - met (als enige) de mogelijkheid om overtreders van regels te sanctioneren?

Waarom niet? Het gaat om vele miljoenen potentieel kwetsbare mensen en er zijn geen vangnetten voor slachtoffers, die er -volstrekt voorspelbaar- zullen zijn.

Ik *zou* bij mijn alleen wonende moeder van 93 in kunnen trekken (ik moet er niet aan denken, mijn vriendin niet en mijn moeder ook niet). En de voordeur op slot doen als ik een boodschap ga doen (en alle voordeursleutels meenemen). Zij is geestelijk nog goed bij, maar heeft zich toch al laten oplichten door glazenwassers en dakgootreinigers die wel iets doen, maar daar veel te hoge bedragen voor vragen - cash natuurlijk. Maar de impact (financiële schade) daarvan is, in tegenstelling tot ernstige identiteitsfraude, geen ramp.

Wat stel je voor als oplossing? (Ik ken meerdere ouderen die kinderloos zijn, en meer dan 10% van de inwoners van Nederland is laaggeletterd).

"Onze website asnbank.nl en mogelijk onze andere online betaaldiensten zijn via uw internetverbinding niet mogelijk."
ASN heeft blijkbaar weinig op met privacy.

Ik heb het even voor je vet gemaakt: dit is de cruciale voorwaarde, zoals die in de Wwft genoemd wordt: bij aanvang van de dienst moet de identiteit van de klant vastgesteld worden (o.i.d.).
En m.i. wordt met deze bepaling grootschalig de hand gelicht door alle banken, die dit aangrijpen om het hele klantenbestand te gaan heridentificeren voor het geval dat er bij deze klanten verdachte transacties (Wwft) vastgesteld worden.
De volgorde wordt dus omgedraaid en dat is in juridische zin problematisch omdat de volgorde is: als "x" dan "y". Er is een verdachte betalingstransactie op een bankrekening gevlagd en dan moet de bank weten wie de klant is (identiteit).
Het is natuurlijk superhandig voor de bank wanneer ze altijd een volledig up to date klantenbestand heeft waarin gisteren elke klant zich nog geauthenticeerd heeft, maar het is niet correct.
Om een soortgelijke reden zou de Nederlandse staat ook van iedereen DNA- materiaal kunnen gaan afnemen en opslaan "voor het geval u verdacht wordt van een overtreding"; dan hebben we dat alvast.
Dit riekt naar anticiperen, preventief screenen. En is daarmee weer een stapje verder de glijdende helling af in de richting van: iedereen is in principe verdacht.
Het gemak waarmee de banken de noodzaak om de identiteit van hun klanten te kennen uitbreiden, welke noodzaak in de Wwft geformuleerd wordt ingeval (= de voorwaarde) van een verdachte betalingstransactie (het delict), dus pas dàn en niét eerder, tot een zoveel maal per jaar uit te voeren heridentificatie - het begrip komt niet voor in de Wwft - zal uiteindelijk leiden tot het verplicht gebruik van de EDI-wallet om te kunnen bankieren.
Ik zie een trend die in de richting gaat van realtime jezelf online identificeren, overal en altijd, oftewel, een doorlopende heridentificatie.

En dan nog iets: de existentiële noodzaak om (in Nederland) een bankrekening te hebben betekent niet dat een bank kan zeggen: wij hebben dit bedacht, het zus en zo opgeschreven in onze algemene voorwaarden en die heeft de klant ondertekend en daarom mogen wij bij niet-naleving, volgens onze indices, de rekening opzeggen.
Banken hebben een fundamentele functie in de samenleving/ economie en dat betekent dat de gehanteerde voorwaarden i.o.m. de eisen van de samenleving moeten zijn.
Banken moeten dienstbaar zijn.
(Ja, en dat betekent ook dat ik tégen de Wwft ben omdat die banken met een oneigenlijke opdracht opzadelt.
Degene die er een bende van maakt zijn hier niet de banken, maar de staat met haar wetgeving).

Nou de site heeft geen storingen en is met een VPN ook prima te benaderen. Je zult dus wel iets gebruiken wat meer met cybercrime te maken hebt dan met privacy.

En dan zeg ik terecht dat je geen verbinding kunt maken. Ook in verband met mijn banikier-veiligheid.

Nooit gezien. Ik neem aan dat je bedoelt te zeggen dat je via een VPN of Tor naar ze toe gaat? Anders zou je opmerking niet over privacy gaan, lijkt me.

Als dat zo is, bedenk dan dat IP-adressen waar een hoop shit vandaan komt op zwarte lijsten komen, en die diensten worden ook gebruikt door mensen die vervelende dingen doen. Het wordt dan niet geblokkeerd om privacy aan te tasten maar om shit buiten de deur te houden.

Bedenk dan ook dat als je een rekening bij een bank hebt die bank je kent. Ze kennen je naam en adres al, je bankrekening, je saldo en je transacties. Als je ze dat allemaal al toevertrouwt, wat is er dan zo spannend aan je IP-adres?

Nee zo werkt het niet. De Wwft verplicht bedrijven en instellingen om maatregelen te nemen om deze criminele activiteiten te bestrijden. Dit omvat onder andere het identificeren van klanten, het controleren van transacties en het melden van ongebruikelijke transacties bij de autoriteiten.
De wet richt zich op het voorkomen van witwassen en terrorismefinanciering, in plaats van alleen het achteraf opsporen ervan.
Behalve dat een wet moet worden vastgesteld, moet deze ook ten uitvoering kunnen worden gebracht en geïmplementeerd worden. Van daaruit zijn de banken (stakeholders) met taken uitgerust:
Preventie:
De wet richt zich op het voorkomen van witwassen en terrorismefinanciering, in plaats van alleen het achteraf opsporen ervan.

Verplichtingen:
Bedrijven en instellingen hebben verschillende verplichtingen, zoals het identificeren van klanten, het uitvoeren van cliëntenonderzoek en het melden van ongebruikelijke transacties.

Toezicht:
Toezichthouders controleren of bedrijven en instellingen de Wwft naleven.

Beroepsgroepen:
De Wwft geldt voor een breed scala aan beroepsgroepen, waaronder financiële instellingen, accountants, notarissen, makelaars en handelaren in goederen.

Risicogericht:
De intensiteit van het cliëntenonderzoek kan verschillen, afhankelijk van het risico op witwassen en terrorismefinanciering.

De heridentificatie komt voort uit de verplichtingen en toezicht die uit deze taken voortkomen.


Huh? Dat het verplicht is om een bankrekening te hebben betekent voor een bank nog niet de verplichting om jou aan te houden als klant. Je kunt ook naar N26 of Revolut ouzo. Maar let op, ook daar haal je gewoon je ID kaart tegen de NFC lezer en word er een gezichtsscan van je gemaakt.

Waarom denk je nu dat een bank die alles op orde heeft en aan de Wft voldoet dan _alsnog_ op eigen kosten een grote heridentificatie actie gaat doen ?
Raar complot denken .

Van een commercieel bedrijf mag je min of meer verwachten dat als ze iets doen, het is omdat het verplicht is en er sancties aan zitten als ze te erg of te lang in gebreke zijn ,erg noodzakelijk voor de bedrijfsvoering, of dat ze er _zelf_ beter van worden. (lagere kosten, ofzo) .

En nu ga jij zitten verzinnen dat ze al lang goed genoeg voldoen aan de Wft, maar dan toch nog geld aan uitgeven om het nog meer up to date te brengen ? Hoe dan ? Voor wie ?
Voor de bedrijfsvoering hoeft het echt niet zo strak, in Zwitserland kon men zeer winstgevend bankieren met nummer-rekeningen.


Echt - dan is de meer plausibele verklaring dat (zeker met alle migraties / samenvoeging van ASN/SNS/Volksbank) ze gewoon een wat rammelende of onhandige identiteitsadministratie hadden - en dan (met intern diep zuchten) die dan toch maar moeten bijwerken door een hele blubs klanten opnieuw te laten identificeren .
Cui Bono.
Als ze"gewoon" een paar database exports en merges hadden kunnen doen was dat zeker een simpeler en goedkopere optie geweest dan dat soort acties, ik denk dat dit eigenlijk een symptoom is dat ze de boel niet heel lekker op orde hadden.
Misschien zelfs non-compliant, en dan wordt zo'n actie heel acuut, of "slechts" erg duur/onhandig om te laten voortbestaan, zoals twee of drie niet-gekoppelde banksystemen.
En bij bedrijven met zo'n splits/samenvoeg/rebrand historie is dat niet heel vreemd.

Observeer trouwens dat andere banken helemaal geen heridentificatie actie hebben lopen .

Oké, de banken hebben dus niet alleen een passieve opsporingstaak (achteraf), maar een actieve opsporingstaak: vóóraf, anticiperend op het voltrekken van een delict, dus op schuldig zijn aan criminaliteit. De bank doet aan preventief onderzoek, oftewel: iedereen is in principe verdacht en wordt onderworpen aan een cliëntenonderzoek.
Dit begint al bij het openen van een rekening waar de bank een inschatting maakt inhoeverre de klant zich met witwassen (Wwft) zal gaan bezighouden.
Wanneer de bank dit risico te hoog inschat zal de klant geweigerd worden.
Schattingen horen echter niet thuis in een rechtsstaat.
In een rechtsstaat gelden alleen bewezen overtredingen/ criminele handelingen; het bewijs wordt in de rechtszaal geleverd in een juridische krachtmeting tussen aanklager en verdediger.
Het risicoprofiel dat door de bank aan de aangenomen klanten (klanten die een bankrekening krijgen) wordt toegekend (gelabeld) begeleidt hen voor de duur van het bestaan van de bankrekening en wordt regelmatig geüpdatet. De bankklant blijft m.a.w. permanent een verdachte, die bij elke betalingstransactie in een hogere risicoklasse terecht kan komen met nog meer onaangename onderzoekingen waaraan hij onbeperkt en onvoorwaardelijk moet meewerken. Weigert hij deze medewerking dan wordt de rekening door de bank opgeheven.
De bankklant heeft in deze "rechtsruimte" geen enkele verdediger tegenover de bank die hem conform haar eigen inzichten behandelt. De bankklant wordt in dit onderzoeksproces van alle rechten gestript en moet alleen leveren (informatie).
De blokkade van de rekening fungeert als een moderne pijnbank.

De bank is daarmee verworden tot een do_it_yourself_politie, die door niemand meer gecontroleerd wordt; een straf"rechterlijke" onderzoeksadministratie waarvan de daadkrachtige armslag qua impact op de slachtoffers in de buurt komt van die van bankhelpdeskfraudeurs.
De financiële surveillancestaat is dankzij de banken tot op grote hoogte geperfectioneerd - iedereen heeft geld nodig om in de samenleving te kunnen functioneren.
Het doel: het voorkomen van witwassen en het financieren van terrorisme zakt, zoals altijd bij bureaucratische Goede Werken, weg achter de horizon.
Is niet erg want het kenmerk van een bureaucratie is juist dat zij haar bestaansreden steeds meer in zichzelf vindt.

De Wwft wordt binnenkort vervangen door de Europese antiwitwasverordening: de Anti-Money Laundering Regulation (AMLR), die volgens jurist Ellen Timmer de fundamentele fouten, w.o. discriminatie, in de internationale wetgeving van de Financial Action Task Force (FATF) en Europa zullen verergeren.
In een interview in februari 2024 onderbouwt zij dat de inspanningen die de banken en betaaldienstverleners in het kader van de Wwft verrichten volkomen zinloos (ineffectief) zijn:

https://www.riskcompliance.nl/news/ellen-timmer-er-wordt-onnodig-veel-geld-verspild-als-gevolg-van-de-wwft/

De surveillancetaak, die door de banken uitgevoerd wordt, is de finale hefboom om elke vorm van privacy of respect voor de private levenssfeer van mensen de nek om te draaien.
Ik ben het dan ook eens met de volgende conclusie van Timmer:
"Kennelijk is een machtige Europese overheid een doel op zich en moeten de burgers wijken."
De Wwft en haar opvolger dienen alleen ter meerdere eer en glorie van de "vorsten" in Brussel en frustreren de bevolking. Het excuus dat zij in laatste instantie zullen aanvoeren, namelijk dat wie niets te verbergen heeft niets te vrezen heeft is dan tevens de bezegeling van de grenzeloze onvrijheid waarin bankklanten - dus iedereen- terecht zijn gekomen.
En daar zit precies het gat waar de bankklant induikelt bj wijze van straf (en de dreiging daarmee!) wanneer hij niet voldoet aan de Wwft-regels van de bank en de bank de rekening éénzijdig opzegt.
De bank kan zich daarbij achter de Wwft verschuilen (net zoals bij de rest van de toepassing van deze wet) en de staat is niet direct aanspreekbaar wanneer een klant niet meer voor- of achteruit kan tengevolge van een blokkade van zijn bankrekening.
De staat heeft elke burger verplicht om een bankrekening aan te houden, maar kijkt weg wanneer een bankklant maatschappelijk wordt vermoord. Iemand die in de gevangenis zit wordt beter beschermd!

Jij verdedigt uitsluitend het perspectief van de bank, maar daar is de slachtoffer-bankklant niet mee geholpen.
En in laatste instantie ook niet de samenleving waarin het economische leven onnodig gefrustreerd wordt.

@Anoniem vandaag 07:19 - dank!

Inderdaad: de Nederlandse overheid eist van banken dat zij de risico's van terrorisme en witwassen mitigeren door elke burger als verdachte te beschouwen.

Bovendien laat de Nederlandse overheid na om dusdanige eisen aan de authenticatie van burgers (door banken) te stellen dat enerzijds de risico's (waaronder identiteitsfraude) voor betrokken burgers zo klein mogelijk zijn en anderzijds dat terrorismefinanciering en witwassen substantieel wordt bemoeilijkt.

Het is niet alleen surveillance, maar voor zover ik weet zinloos; ik heb nog geen rapportage gezien van aantoonbare voordelen i.r.t. de bestrijding van terrorisme en en witwassen dankzij de huidige aanpak (maar ik heb daar niet naar expliciet naar gezocht; links zijn van harte welkom).

Sowieso vind ik de risico's van de huidige aanpak, in de praktijk, voor (onbewezen schuldige) burgers allesbehalve proportioneel.

Aanvulling 17:19: de nieuwe publiekscampagne "Laat ze niet binnen" (van Omroep Max + de Politie) is te zien in https://youtube.com/watch?v=9vd4qdx0E70 (bron: https://politie.nl/nieuws/2025/juli/11/00-aantal-incidenten-met-nepagenten-blijft-stijgen-start-landelijke-campagne.html).

Ik ben inmiddels bijgeschoold over de WWft, o.a. door @Anoniem 13-07-2025:19.48 uur.
Zie ook mijn reactie van vandaag om 7.19 uur.
Dus jouw veronderstelling over de achtergrond van de heridentificatie-actie van de ASN-bank is zeer plausibel.

Je draaft nu wel door.

Het is geen passieve opsporingstaak (achteraf), en ook geen actieve opsporingstaak: vóóraf.
Het een compliment zijn aan de wet.

Een persoon zonder BSN krijgt ook geen BSN als hij toevallig voor een strafbaar feit word aangehouden.

Als ju nu niet je ID wil laten checken door de ASN, Dan ga je toch naar een andere bank? En dan zie je wel of je daar een rekening kunt openen zonder ID check.

Klanten hébben al contact opgenomen hoor waaronder ondergetekende ook:
- je ontvangt een mail over heridentificatie: ': 'Je kunt je op dit moment alleen identificeren met de ASN-app'
- 7 dagen later een herinnering: 'Als je dit niet doet, kun je straks niet meer inloggen in je ASN- app of ASN Online Bankieren.'
- Helemaal nergens wordt een alternatief genoemd.
- Ga je naar een ASN winkel dan hoor je dat identificatie in een filiaal niet mogelijk is: 'vanaf eind september'.

Dit is er dus werkelijk mogelijk na contact opnemen.

Nou schiet eind september al gauw op. 10 Weken snel uitgerekend.

In welk opzicht? Graag specificeren.
Juridisch gesproken klopt dat. Maar feitelijk gezien doet de bank hetzelfde als wat staatsinstanties doen, die het plegen van criminele handelingen proberen vóór te zijn door alle ter beschikking staande data van burgers systematisch door te lichten m.b.v. vooraf geformuleerde indicatoren (die zouden kunnen wijzen op crimineel gedrag/ activiteiten).
De gebruikte methode is exact dezelfde: er wordt een risicoprofiel (een risicoscore) gemaakt van elke bankklant. Op het moment dat deze score in het "oranje" gebied komt gaat de bank aanvullend cliëntonderzoek uitvoeren en contact opnemen met de klant. Dan wordt de klant nader ondervraagd en moet aanvullende informatie aanleveren, die hem kan ontlasten zodat de bank vervolgens de betreffende score weer kan verplaatsen naar het "gele" gebied (= alles oké).
De manier waarop de bank dit onderzoek uitvoert is net zo indringend en invasief voor de private levenssfeer als bijvoorbeeld een verhoor op het politiebureau.
De juridische (recht) waarborgen waarmee een politieverhoor is omgeven en waarmee de verhoorde burger beschermd wordt ontbreken echter bij de praktijken van de bank.
Dàt is het probleem (voor de burger en voor de rechtsstaat).
Voor de goede orde: dit probleem is veroorzaakt door de staat, die de banken met de Wwft een opdracht geeft, waarvoor de banken niet de expertise hebben resp. die zij nu met veel schade en schande èn met extreem veel kosten proberen op te bouwen.
Dat weet ik niet, ik dacht dat iedereen een BSN krijgt als hij zich in Nederland wil vestigen.
Weinig kans binnen Europa, maar daar gaat het niet om. Ik wil(de) weten of de ASN-bank in haar recht staat om een klant te heridentificeren en ook of zij voor de wijze van authenticatie beperkingen aan de klant mag opleggen.

[/quote]
Hierom


Dat doen ze helemaal niet.

Het ENIGE wat in hun taakstelling staat is: het vooraf identificeren van hun klanten. Zodat, ALS een opsporingsinstantie deze gegevens nodig heeft, ze in staat zijn om aan deze vordering te kunnen voldoen.

Dat zeg ik. Je draaft door.

Hierom
Dit is een beschrijving van het prototype van risicogestuurd onderzoek, om het uit te leggen. De concrete uitwerking kan per bank variëren, maar de kern daarvan is altijd hetzelfde en overeenkomstig met het bovenstaande.
Dat dacht ik eerst ook (zie @Anoniem 13-07-2025:17.13 uur), maar daarin ben ik inmiddels gecorrigeerd. De bank heeft een proactieve taak en moet die taak al bij de opening van de bankrekening (en bij aanvang van elke nieuwe dienst van de bank) uitvoeren.
Nee, ik draaf niet door. Dit staat in de Wwft. Er wordt meteen bij de opening van een rekening een risicoschatting van de nieuwe klant uitgevoerd.

Uit:
Algemene leidraad Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft); 23-04-2024.
Van: Ministerie van Financiën & Ministerie van Justitie en Veiligheid

5.Cliëntenonderzoek.
5.1 Algemeen

"Net als de derde anti-witwasrichtlijn kent de vierde anti-witwasrichtlijn een risicogebaseerde benadering, waaruit volgt dat instellingen de maatregelen die zij in het kader van het cliëntenonderzoek nemen, moeten afstemmen op de risico's van de aard en omvang van de eigen onderneming en de dienstverlening, alsmede op de risico's van een concrete zakelijke relatie of transactie. Naast een risicogebaseerde invulling van het cliëntenonderzoek dat in standaard gevallen dient plaats te vinden, kan op basis van een risicobeoordeling in een concreet geval ook aanleiding bestaan voor het verrichten van een vereenvoudigd of verscherpt cliëntenonderzoek. Daarbij laat de Wwft slechts ruimte voor het variëren in de intensiteit van de maatregelen die in het kader van het cliëntenonderzoek worden genomen. Het cliëntenonderzoek kan in geval van laag risico dus niet achterwege worden gelaten.

Het cliëntenonderzoek moet gebaseerd zijn op een risicoweging, mede op grond van de in de richtlijn geïdentificeerde risicofactoren. Ten aanzien van de mogelijkheid om een vereenvoudigd cliëntenonderzoek te verrichten, worden in de Wwft niet langer typen cliënten aangewezen ten aanzien waarvan met een vereenvoudigd cliëntenonderzoek kan worden volstaan. In plaats daarvan dient een instelling voor het aangaan van een zakelijke relatie of het verrichten van een transactie een risicobeoordeling uit te voeren. Indien daaruit volgt dat sprake is van een aantoonbaar laag risico, kan volstaan worden met het treffen van vereenvoudigde cliëntenonderzoeksmaatregelen. Het cliëntenonderzoek kan in geen geval achterwege blijven, maar de intensiteit waarmee de cliëntenonderzoeksmaatregelen worden toegepast, wordt afgestemd op het risico dat met het type cliënt, product, dienst, transactie en leveringskanaal en met landen of geografische gebieden gepaard gaat. Het is aan de instelling zelf om te bepalen welke intensiteit in een bepaald geval is aangewezen. Uit de risicobeoordeling kan ook volgen dat sprake is van een hoog risico waardoor verscherpt cliëntenonderzoek vereist is." (Pag. 19) (toegevoegde vetdruk)

https://www.tweedekamer.nl/downloads/document?id=2024D16658

Ja, goed en ook snel gerekend!

Maar dat is hét punt niet natuurlijk.
De ASN meldt helemaal niet dat je je in een winkel zou kunnen identificeren.
En als je daar na een bezoekje achterkomt dat dat eventueel wel zou kunnen, dan pas vanaf eind september.

Klantvriendelijke oplossing: identificatie via een app óf in een winkel vanaf de datum dat dat allebei mogelijk is.

Dat is echt onzin.

Heb je hoofdstuk 10 "toezicht" en hoofdstuk 11 "handhaving" ook gelezen? Daarin is precies uitgelicht welke rollen de verschillende instanties hebben. En daaruit volgt niet uit wat jij denkt dat een financiële instelling doet.

Die hoofdstukken gaan niet over hoe een financiele instelling de Wwft moet uitvoeren, maar dit betreft de toezichthouders op de financiele instellingen (bijv de DNB) met handhavingsmogelijkheden als de financiele instellingen volgens deze toezichthouder zich niet aan de Wwft houden.

Dit heeft dus niets te maken met hoe de banken invulling geven aan deze wet. En die doen dit wel degelijk risicogebaseerd (waarom denk je dat een sekswerker niet aan een bankrekening kan komen)?

Mbt de heridentificatie uit het topic: het lijkt erop dat er een en ander verloren is gegaan tijdens het samengaan van de 3 banken (ASN, SNS, Regiobank), waardoor er blijkbaar data mbt identificatie van de klanten verloren is gegaan. Dit wordt nu gewoon op de klant afgewenteld.

Dat komt door de crashbedragen die ze storten.


Nee, dat word niet "afgewenteld" maar opgelost naar een situatie zoals hij moet zijn.

Storten op wat?
Daarvoor moet je eerst een bankrekening hebben.
En die moet een sekswerker dus eerst zien te krijgen.

Voor mijn werk heb ik mij moeten identificeren om officiële publieke TLS certificaten te mogen aanvragen.
De CA instantie (Certificate Authority) vroeg mij dus om een app te installeren die de identificatie kon uitvoeren. Een foto van mijn paspoort werd dan vergeleken met een foto van mijn gezicht die ik met mijn telefoon/camera moest nemen.

De bedoeling is dat de app je gezicht gaat controleren met de foto op je paspoort. In dat geval hebben ze dus een gezicht bij een naam en kunnen controleren wie je bent.
Een goede app kan dit natuurljk offline doen. Ik heb er geen moeite mee als de verificatie plaats vind op mijn telefoon en na verificatie alleen een soort OK richting de server gestuurd wordt (paspoort+ gezichtsfoto) blijven dan gewoon lokaal en worden het liefst na een succesvolle verificatie meteen weer verwijderd.
Dat is de theorie.

Dus na het openen van de app zette ik mijn wifi uit en mn 4/5G Verbnding. Als toch alles lokaal gecontroleerd en geverifieerd wordt heb je immers geen internet connectie nodig toch??

Meteen na het uitzetten kreeg ik de melding dat de app niet werkt zonder internet connectie! Ik heb bij iedere stap geprobeerd internet uit te zetten maar uiteindelijk kwam het er op neer dat die hele procedure niet werkt zonder een actieve internet connectie. Ik kan dus niet controleren wat er tijdens het 'lokale' process toch via internet wordt verstuurd. Ik heb mn leidinggevende maar aangegeven dat ik mij hier niet fijn bij voel en mijn persoonsgegevens zo niet naar een CA entitiy stuurt. Een bank is dan nog een ander verhaal maar een commerciele (amerikaanse) CA daar van denk ik.. ja doeii...

Het is sowieso absurd, want als ik je goed begrijp gaat hier niet om een persoonlijk certificaat, maar eentje van een organisatie.

(Ik gebruik hieronder "CA" voor de certificaatuitgever).

Om te beginnen moet de CA verifiëren dat alle in een certificaat op te nemen identificerende gegevens (waaronder KvK-nummer) daadwerkelijk van die organisatie zijn, en niet dat iemand is wie hij/zij zegt te zijn.

Een risicovol en lastig te implementeren oplossing hiervoor zou kunnen zijn dat én de organisatie aan de certificaatuitgever bewijst dat zij zijn wie zij zeggen dat zij zijn, én bewijst dat jij geautoriseerd bent om namens de organisatie certificaten aan te vragen, én dat jij bewijst dat jij bent wie je zegt dat je bent.

Een betere oplossing lijkt mij nou typisch een taak voor de KvK plus de bij de KvK als verantwoordelijke ingeschrevene voor de organisatie. Vaak is dat de/een directeur - die contact met de KvK zou kunnen delegeren naar een vertrouwde werknemer, de ik hier "contactpersoon" noem (bijv. een security officer of chef ICT). Beiden zouden dan éénmalig samen naar de KvK moeten gaan waar zij hun identiteitsbewijs laten checken, en ook de contactpersoon een account krijgt.

Na de ontvangst van een certificaataanvraag voor de organisatie stuurt de CA een authenticatieverzoek (voor de organisatie) naar de KvK, die na ontvangst een bericht stuurt naar de contactpersoon bij de organisatie. De contactpersoon logt in op https://www.kvk.nl/inloggen/ en bevestigt de aanvraag, waarna de KvK het verificatieverzoek digitaal onterkent en terugstuurt naar de CA.

Voor hoogst vertrouwelijke certificaten zou kunnen worden vereist dat méér dan één geautoriseerde persoon binnen een organisatie de aanvraag bevestigt.

Voor overheidsorganisaties (zonder KvK-inschrijving) zou de overheid een alternatief voor de KvK moeten opzetten, of ook die taak naar de KvK delegeren.

Ik vind het onbegrijpelijk dat we de uitgifte van identiteits- en rijbewijzen wél een overheidstaak vinden, maar een betrouwbare uitgifte van bruikbaar identificerende certificaten niet. Waarbij je, linksom of rechtsom, niet ontkomt aan (op z'n minst eenmalige) fysieke authenticatie van geautoriseerde personen - en procedures om mensen die van functie of baan wisselen als geautoriseerde te schrappen bij de KvK.

Het kan ook zonder KvK: maar dan moet een CA kantoren ter plaatse hebben waar zij de taken van de KvK op zich nemen. Voor organisaties met een KvK-inschrijving betekent dat echter dubbel werk (zowel voor cerificaataanvragers als voor de CA) wat betrouwbare en zinvolle certificaten bovendien onnodig duurder maakt.

Was het nou echt nodig 2 topics met hetzelfde gehuil te openen? https://www.security.nl/profile?alias=Ronaldinho

Als u dat 'gehuil' zo oninteressant vindt dan gaat u toch wat anders doen?
Mensen die ermee te maken hebben komen er onderling wel uit.
Voor hen is het een heel interessant thema.

Volgens sommige comments hierboven zou het vanaf eind september mogelijk zijn om jezelf op een ASN filiaal te identificeren.

Heeft iemand (TS misschien?) dit al geprobeerd of hier nog wat over gehoord?

Die dienst bestaat allang waarbij er een medewerker (inclusief alle voormeldingen en legitimatie e.d. om zo zeker mogelijk te zijn dat deze persoon ook echt is wie die zegt te zijn en komt doen wat die moet doen) aan de deur komt om je ID te verifieren voor de bank.
Maar dat kost natuurlijk wel geld en alles moet zo goedkoop mogelijk (hence ook het sluiten van al die bankkantoren)

Als mijn posting doorgezet was had je kunnen lezen dat deze dienst ook door ASN gebruikt wordt.

Had iedereen die het wilde weten ook zelf op de site van ASN kunnen opzoeken, in plaats van schampere - maar in dit geval onterechte - commentaren te posten/

Heel interessant thema? Je bedoelt: twee interessante identieke thema's - op verschillende locaties i.p.v. bijeen.

En leerzaam;
dat die banken die "zomaar om ID's vragen" toch wat minder-belachelijke privacy-schending is.
Wanneer je dat zelf niet kunt bedenken blijft "huilen" het meest correcte woord hiervoor.

Zij hebben uw geld, zij zouden hun gegevens en foto aan u moeten sturen.

ASN Bank wil opeens ook geen telefonische overschrijvingen meer doen naar mijn vaste tegenrekening bij een andere bank, die bij ASN al een jaar of twintig geregistreerd staat. Ik kan de opdracht niet meer telefonisch geven. Het moet nu "via de app" of, als je geen e-account bij ASN hebt, via papieren overschrijvingsformulieren.

Waarschijnlijk worden nieuwe klanten bij ASN niet eens geaccepteerd als ze niet een e-account aanmaken waarbij honderdduizend persoonsgegevens worden verwerkt en er dus die privacy aantastende ID-check wordt geëist.

In de email die ik laatst van ASN kreeg (september), stond dat de telefonische overschrijvingen stoppen per 1 november aanstaande. Toen ik meteen belde, bleek dat dat niet waar was, die mogelijkheid was al per 1 juli jongstleden gestopt. Alleen hadden ze er niet aan gedacht om dat van te voren aan de klanten te vertellen.

Wat ik ook nog hoorde, was dat ze bij de ASN-klantenservice een dag voor 1 juli gehoord hadden dat ze vanaf de volgende dag niet meer bevoegd waren om telefonische opdrachten voor overschrijvingen te accepteren of uit te voeren.

Het lijkt erop dat de top van ASN er iets door aan het rammen zijn zonder enig respect voor hun klanten of zelfs maar hun eigen personeel. Dat er dan leugenbrieven naar klanten worden gestuurd ("Per 1 november a.s. kunt u niet meer telefonische overschrijvingen doen") terwijl het al sinds 1 juli jl. niet meer kan, dat vinden ze daar bij de (nieuwe?) top van ASN/Volksbank kennelijk ook niet belangrijk.

Kortom, ASN was ooit een "bank met een geweten" maar dat is het echt niet meer. Waarschijnlijk een gevolg van die fusie met SNS Bank /Volksbank die zogenaamd voor ASN klanten "geen consequenties" zou hebben, "wij blijven u op de vertrouwde manier onze diensten verlenen".

Banken en overheden, het zijn grote leugenaars. De mensen die daar werken, van hoog tot laag, hebben hun ziel aan de duivel verkocht, ze moeten zwijgen over de leugens die ze aan klanten of burgers "moeten" verkondigen. We hebben het dus wel over honderdduizenden Nederlanders die structureel liegen om brood op de plank en "loopbaanperspectief" te houden.

Corruptie alom. Dit gaat niet goed aflopen.

En terecht.

Héél leerzaam, bijvoorbeeld de post van @Anoniem van vandaag om 10.12 uur in de paralleltopic, die een licht werpt op het heridentificatie-gedrag van de ASN-bank (en vermoedelijk hetzelfde licht op alle andere banken): heeft de klant een buitenlands paspoort dan wordt hij vaker gecontroleerd dan een klant met een Nederlands paspoort.
Dat is natuurlijk een veronderstelling (hypothese), die ik opwerp, maar probeer die maar eens te ontkrachten.
De reactie van @Anoniem van 15.07 in de paralleltopic is van mij.

Privacyschending die accelereert door het hebben van een buitenlands paspoort. Moet kunnen, toch?
(nieuwe anoniem )

Nee, zij schrijft niet: "heeft de klant een buitenlands paspoort dan wordt hij vaker gecontroleerd dan een klant met een Nederlands paspoort.". Zij merkt op dat haar man word gevraagd om een heridentificatie en zij niet ondanks dat het een e/o rekening betreft.

Dat betekent nog niet dat het buitenlandse paspoort de trigger is geweest. Misschien is ze gewoon nog niet aan de beurt geweest. Overigens vertelt het verhaal ook niet of haar echtgenoot niet ook gewoon een NL paspoort heeft (dubbele nationaliteit).

Dat klopt, maar ik verwijs niet voor niets naar mijn reactie in de paralleldraad: ik suggereer dat de heridentificatie vaker gebeurt omdat haar man een buitenlands paspoort heeft.
En haar man al twee keer wèl?
Als de beide houders van de en/of rekening at random worden geselecteerd is dat al een opmerkelijke uitkomst.
En waarom zou haar man dan niet zijn Nederlandse paspoort gebruiken om mee te heridentificeren?

Dat moet je niet aan mij vragen.


Heel internet staat vol met suggesties, en met name om. maar vooral de discussie te kunnen blijven volhouden. Maar het is en blijft een suggestie, en kan dus net zo waar zijn als onwaar.


Vraag het aan de bank hoe die selectie werkt. En, vooral, of dit alleen bij ASN zo is of bij alle banken.

Gelukkig hebben de reaguurders op security.nl geen verstand van statistiek. Als iets een keer is gebeurd kan dat heel goed toeval zijn, zelf als het wel heel toevallig is. Alleen de opmerkelijke gevallen halen het forum van security.nl.
Vrije vertaling van de wet van Murphy: als iets kan gebeuren, zal het ook een keer gebeuren.

Ik kan in ieder geval bevestigen dat mijn partner de afgelopen jaren exact evenveel heridentificatie-verzoeken heeft gehad als ik. Maar ook die opmerking zegt helemaal niets.

"De wet richt zich op het voorkomen van witwassen en terrorismefinanciering"

Open een belwinkel, kapsalon, restaurant enz. enz.

En waarom neem je dan de moeite om in weerwil van jouw aanwijzing over hoe statistiek werkt -welke aanwijzing correct is- jouw persoonlijke situatie kenbaar te maken op dit forum?

Neem een bankrekening in het buitenland (EU) en dat is vaak ook nog zonder kosten. Je hoeft zo niet bij te dragen aan de opsporingsdiensten die de banken tegenwoordig ook in hun pakket hebben.

Waarom denk je dat die niet meewerken met de in Europa verplichte scanning?

Als jij een Centrale Bank bent en audits wil doen, hoe zou jij dat aanpakken? Ikzelf zou random selecteren, zoals DNB ook doet - al ken ik geen audits waar men tot en met de accounthouder zelf controleerd.


Ik heb gehoord dat je op een Zwitserse bankrekening al je zwarte geld kunt storten.
En dat je in Luxemburg anonieme nummer-accounts hebt.
Ik weet niet of we met onze kennis van nu een halve eeuw terug in de tijd willen...

Controle-staat? Nee, dan moet je met het argument komen dat de Tweede èn Eerste Kamer instemden met controle op elke transactie boven € 200,- waar Medy van der Laan zwaar op aangedrongen heeft - en er nu dus duizenden mensen al deze transacties controleren!
Da's een niet EU-brede scanning.

Overigens heeft zij als voorzitter Nederlandse Vereniging van Banken altijd gehamerd dat opsporing een publieke taak is; niet een taak van een bank. Oftewel: die "controle-staat" heeft het lekker "uitbesteed".
Zoals ISP's hun klanten moeten afluisteren - en er een NBIP onstond omdat de kosten niet op te brengen waren.
Zoals terrashouders mankracht moesten gaan betalen om op QR codes te surveileren - of anders geen service voor de ongehoorzame onbespoten burger, plus overdracht aan de politie.
Zo ook vind de "controle-staat" het ook uitermate prettig de kosten van opsporing over de schutting te gooien
(en kom alstublieft niet met onzin dat banken oneindig veel geld bezitten, of kunnen maken).

Wat is je probleem eigenlijk? Dit is een duidelijk bericht. Er had nog bij kunnen staan dat dit een verpliching is vanuit het Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). Persoonlijk heb ik er ook grote moeite mee dat particulieren bedrijven, zoals banken, nu opsporingstaken krijgen. Je kan hier de financiële instellingen niet op aankijken. Die moeten dit volgens de wet uitvoeren.

Als je het hier niet mee eens bent, moet je bij de overheid zijn. 29 oktober kan je je invloed pakken.

https://www.rijksoverheid.nl/onderwerpen/financiele-sector/aanpak-witwassen-en-financiering-terrorisme/veelgestelde-vragen-wwft

Ja maar je gaat akkoord met de voorwaarden?...
En je hoeft niet akkoord te gaan met de voorwaarden, je salaris en hypotheek kan immers ook contant verlopen...
Geen dwang hoor, het is niet dat we met het mes op je keel eisen akkoord te gaan, volkomen vrijwillig...

Wat wil dan nog met je contant geld doen?
Geld is dadelijk waardeloos; de status van jouw volkomen vrijwillige digitale ID bepaalt straks waarde.

Nee, salaris mag niet contant en hypotheek ook niet. https://www.arbeidsrechter.nl/wijze-waarop-werkgever-loon-salaris-moet-betalen/

Ga naar een bank waar je zonder app kunt bankieren. (Of helemaal zonder internet) Je zult nog steeds je ID-kaart moeten laten zien (of scannen) maar dat kan dan gewoon in het bankkantoor.

Zonder internet:
https://www.consumentenbond.nl/betaalrekening/bankieren-zonder-internet

Zonder app:
https://www.bank.nl/kennisbank/bankieren-zonder-app/ (Schrap SNS/ASN van deze lijst)

Overweeg om weg te gaan bij ASN. Ik heb hetzelfde gedaan bij SNS (Dat nu ASN is)

Ik bankier via de PC. SNS zei te gaan stoppen met de identifier die ik gebruikte om veilig in te loggen. Als alternatief verwezen ze naar SNS app. In de voorwaarden vereisen banken dat de apparatuur die je gebruikt up-to-date is met beveiligingsupdates. Mijn Android apparaten zijn dit al jaren niet omdat de updates niet worden aangeboden door de fabrikant. Ik kan de app wel installeren maar dan ben ik in overtreding en dat betekent dat ik bij schade mogelijk geen recht heb op compensatie door de bank omdat ik me niet aan de regels heb gehouden. Het blijven kopen van nieuwe apparaten die apps ondersteunen (smartphones, tablets) is voor mij geen goede optie. Mijn PC is wel up-to-date.

Ik ben om deze reden weggegaan bij SNS (Nu ASN) en ben overgestapt naar de Rabobank waar ik met de Rabo Scanner en mijn bankpas/pincode inlog. (One time keys) Zo heb ik geen Android/iOS apparaat nodig. En terug naar offline bankieren wilde ik ook niet omdat ik regelmatig aankopen doe bij webwinkels.

Om klant te worden bij Rabobank moest ik me identificeren en mijn ID-kaart laten inscannen bij het servicekantoor. Hier kom je niet omheen in Nederland ivm wetgeving know-your-customer.

De overheid schrijft niet voor hóe die her-identificatie plaats moet vinden en dat is nu net hét punt waar het om draait: de ASN bank stelde dat dat alleen(!) mogelijk was per app. Op de website van de ASN en in de mails van de bank geen woord over andere mogelijkheden om te her-identificeren.

Inmiddels heeft men de mogelijkheden en de communicatie aangepast.
Er staat sinds kort: 'Of langskomen in een ASN-winkel om je daar te identificeren met je paspoort of identiteitskaart.'
Ook kun je kiezen voor identificatie thuis via de AMP Groep.

Ik heb ook net zo'n brief gahad van ASN.
Inderdaad met twee opties, langskomen in een ASN-winkel of identificatie thuis via de AMP.
Ze leggen niet uit wat die AMP dan komt doen. Gaat die alleen mijn gezicht en mijn paspoort bekijken, of willen die dan ook een foto van mij of mijn paspoort nemen? Biometrische kenmerken verzamelen? Mooi niet.

Die bank is veranderd van een ethische bank in ook weer zo'n grootgraai & controle bank.
Jammer, het was tot minder dan een half jaar geleden een prettige bank.
Ik ga ze schrijven dat ze bij mij thuis langs mogen komen, dat adres kennen ze al meer dan 25 jaar.
Want daar woon ik al meer dan 25 jaar en ik ben al meer dan 25 jaar klant bij ze.
Daar bij mij thuis mag iemand van hun uitvoerder opdrachtnemer AMP in mijn deuropening mijn paspoort bekijken en op echtheid controleren en met mijn gezicht vergelijken.
Om hun plotselinge 'twijfel' weg te nemen of ik eigenlijk wel ben wie ik ben.
Maar geen foto van mij of mijn paspoort nemen en geen kopie maken. Ik ben geen verdachte.

Oh wacht de Nederlandse 'overheid' heeft ons allemaal tot verdachte verklaart.
Dan moeten we dat wel zijn. Wnat ze spreken toch altijd de waarheid en weten het altijd beter toch?
Tijd om wollen sokken te kopen en op verschillende plekken te bewaren met inhoud.
Mijn opa en oma vertelden me wel eens over de Nazitijd.
Zo'n soort tijd is nu weer teruggekomen alleen met een iets ander gezicht.
Het gezicht van het ASN bank eekhoortnje.
& al die andere logo's die ze tegenwoordig zo belangrijk vinden.
Je wordt niet afgevoerd maar buitengesloten net zolang tot geld op is en je niks meer hebt en om genade gaat smeken.

Ondertussen zeggen ze met hun heilige smoelwerken dat ze het zo goed met de burgers voorhebben.
Walgelijk.

Johanna heeft een reactie van de ASN Bank ontvangen en ik quote de tekst van de website:

Bron: https://www.johannakoopman.nl/id-check-bank/

Zoals je hierboven kunt lezen zijn er nog vragen open en nieuwe vragen bijgekomen.

Het is in ieder geval een enorme vooruitgang dat er biometrische scan meer hoeft gedaan te worden bij een her-indentificatie. Had de ASN Bank dit maar meteen goed geregeld dan was er heel wat minder irritatie bij haar klanten ontstaan over de her-identificatie bij hun.

Mijn dank en ik neem aan die ook van anderen, aan Johanna die heeft bereikt dat de ASN bank tot inzicht is gekomen.

Ik denk dat dit maar een heel klein gedeelte van het aantal klant is.

Ik heb het al twee keer via de telefoon app gedaan, vervolgens blijven de dreigbrieven (3e inmiddels) maar binnenkomen
Heb ze gebeld. Natuurlijk geen verklaring maar ik hoefde mij geen zorgen te maken.
Volgende week is de deadline. Ik ga er maar vanuit dat de rekening dan is geblokkeerd.

Het zijn inderdaad de weinigen die de rechten van de velen verdedigen. Helaas neemt zoiets veel tijd in beslag zoals je hier kunt zien aan de start datum van dit topic. Vijf maanden geleden en voorloper van dit topic nog 14 dagen eerder.

Je wordt in de tussentijd door andere voor alles uitgemaakt en dan krijg je nog voor de voeten gegooid, als nog als je het niet bevalt, dan verkas je toch naar een andere bank.

En langzaam aan ploegen wij verder en nu blijkt de ASN Bank nadat die eerste een stoomwals leek te zijn toch haar principes weer laat doorschemeren. Het heeft een tijd in beslag genomen en de twee organisaties, Human Rights in Finance en Privacy First zijn ook erg positief over de ASN Bank. Dit omdat zij wel de privacy van haar klanten serieus neemt.

Minder tevreden zijn zij met de toezichthouder Autoriteit Persoonsgegevens (AP) die het advies aan de ABN-Amro zich te houden aan artikel 9 AVG, dit advies is later via een WOO verzoek publiek geworden.

Het advies van het AP was dat men zich aan artikel 9 AVG dient te houden, maar het AP handhaaft dat dan echter niet.

Lees meer: https://hrif.eu/2026/01/hulde-asn-biometrie-en-avg/

En natuurlijk de pagina van Johanna Koopman die zich er ook in vastgebeten heeft: https://www.johannakoopman.nl/id-check-bank/

Privacy First is niet positief over ASN Bank, waar baseert de persoon van gisteren 22:43 uur dat op?

Die persoon van gisteren 22.43 wat altijd positief over de ASN Bank totdat de stoomwals verscheen. Die stoomwals ligt nu in de greppel en er zijn positieve resultaten zichtbaar.

Het had ook anders gekund, kijk maar naar andere banken, de ASN Bank volgt nu de wet. Een wet die niet gehandhaaft wordt.

Dat moet zelfs jou positief in de oren klinken. Of vergis ik mij daarin?

Dat is inderdaad een grote mogelijkheid, van de keuzes die je maakt.

Er zijn rechten, plichten en wetten. De bank moet zich bijvoorbeeld aan bepaalde wetten houden, boetes die de laatste jaren uitgekeerd zijn aan de banken, waren behoorlijk hoog. Dat maakt banken inderdaad harder en strikter op de juiste invoering van de wettelijke plichten die ze hebben.

Dat is toch ook een feit? Je kunt gewoon overstappen.

Nee, je kunt niet zomaar overstappen. Dat kost tijd en moeite. Trolletje, meneer/mevrouw Anoniem van 7.48 uur?

Als er dadelijk maar één bank overblijft, waarbij je je biometrische gegevens NIET af hoeft te geven, zal die uiteindelijk ook overstag gaan.

Je doet net alsof er niks aan de hand is. Verdiep he eens in de materie. Of werk je bij de alles-willen-weten-overheid/banken?
Rabobank wil ook alle contacten weten, als je hun app gebruikt. Dat was voor mij de limit en daarom ben ik een paar jaar geleden overgestapt naar een andere bank.

We moeten 'NEE' zeggen tegen dit soort 'regels'.

Jij bent een beetje dom, zoals Koningin Maxima zou zeggen.

Waarom zou ik overstappen als ik juist bij de ASN Bank mijn vertrouwen heb gegeven om mijn geld te beheren?

Moet ik mijn principes weggooien omdat er wat weerstand is, en dan voor de zoveelste keer uitwijk totdat er echt geen ontkomen meer aan is?

De ASN Bank heeft juist wel geluisterd en dat ging niet vanzelf. Waren iedere klant zijn denkwijze de jouwe dan had de ASN Bank nu geen klanten meer.

Denk nu nog steeds dat verkassen en/of je mond houden de beste manier is om wat te bereiken?

Wat een onzin reactie!

De klant heeft al twee keer voldaan en het systeem van de ASN Bank gaat door. Als de blokkade er komt dan contact opnemen met de ASN Bank dat dit niet rechtmatig is omdat je voldaan hebt aan de her-identificatie.

Er is alleen een commentaar van Human Rights in Finance, linkedin: https://www.linkedin.com/posts/hrifeu_wij-complimenteren-management-asn-bank-fg-activity-7415750376374919168-Simr
Er wordt verwezen naar https://nl.linkedin.com/pulse/hrifeu-complimenteert-asn-voor-bewust-omgaan-met-biometrie-en-avg-fivse en zie ook https://hrif.eu/2026/01/hulde-asn-biometrie-en-avg/

Dan moet je ook niet die bank app op je digitale enkelband installeren, simpel zat dit was allemaal te verwachten.

Binnen afzienbare tijd is die bank-app alleen verplicht.

Dan komen ze langs in hun ASN busje om je ID te controleren in persoon. want er zijn meer weigeraars.

Na de derde mail van ASN naar de klantenservice van ASN gebeld. De jongeman zei (nadat ik mijn bezwaren kenbaar had gemaakt), dat het prima was als ik mij alleen met het tonen van mijn paspoort zou identificeren.
Helaas vond de meneer van de voorheen-Regiobank-nu-ASN Bank - dat niet. Hij zei, dat de orders vanuit ASN waren een kopie van mijn paspoort te maken. "Het is dit of uw rekening wordt opgeheven." Ik heb hem het adres gevraagd om een klacht in te dienen. Diezelfde dag onderbouwde klacht ingediend. Een dag later ontving ik een brief met de dreiging dat mijn rekening geblokkeerd zou worden.

Weer een telefoontje naar de klantenservice. Deze mevrouw zei, dat de identificatie wel degelijk mag met alleen tonen (dus geen kopie) van het paspoort en dat de meneer van de vestiging behoorlijk klant-onvriendelijk gehandeld had. (Dat vond ik ook.) Zij bood aan, dat zij AMP zal schakelen om een afspraak te maken op een door mij gekozen tijd en locatie om mijn identificatie rond te maken. Zonder een foto/scan te maken van mijn paspoort. Dat vind ik prima.
Ik heb haar gevraagd of ze kon zorgen, dat mijn rekening niet geblokkeerd zou worden. Ook dat heeft ze geregeld. Ze bood aan om dit per mail te bevestigen heeft dat meteen gedaan.

Wel jammer, dat deze versoepeling niet doorkomt bij de vestigingen!

Ook wel jammer, dat sommige het zichtzelf zo lastig maken.

Ik maak mij liever zorgen om echte risico's. Scheelt zoveel tijd, stress en gedoe.

En die "echte" risico's van jou, die kosten jou géén tijd, stress en gedoe, maar die los je fluitend, spelenderwijs en genietend van het leven even op?

Of ben je gewoon een struisvogel, die zijn toevlucht heeft gevonden in een diep, comfortabel gat in de grond waar hij heel hard la-la-la zingt?

Ja. Over het algemeen wel.

Hoezo is dat jammer?
@Anoniem heeft bereikt wat hij wilde, namelijk dat de bank aan zijn (principiële) bezwaren tegen een foto (of scan) van zijn paspoort tegemoet is gekomen.
Al doende daarmee heeft hij het een aantal andere mensen bij de bank óók moeilijk gemaakt, wat goed is voor de bewustwording bij de bank over risico's m.b.t. het maken van kopieën van paspoorten.
Waar baseer jij op dat voor @Anoniem het maken van een kopie van zijn paspoort geen echt risico is?

Laten we het risico inderdaad eens behandelen aan de daarvoor vaak gebruikte formule : R(risico)=K(ans) keer I(mpact)

Kun je een paar op feiten gebaseerde gebeurtenissen (kans) geven dat er kopieën ID bewijzen gestolen zijn bij een bank, en
kun je dat ook eens doen voor de impact (en dan niet alleen voor Anoniem), gebaseerd op feitelijke verifieerbare informatie?

Een bank hoeft een datalek niet te melden aan betrokkenen (alleen aan AP).
Dus is het risico (volgens jouw formule) niet te berekenen voor @Anoniem.
Dus is het rationeel voor @Anoniem om zijn eigen risico-inschatting te maken betreffende de kans op een datalek van zijn kopie paspoort.

Bovendien moet je de impact van een datalek altijd ook op de specifieke (concrete) persoon toespitsen omdat de situatie om een datalek, wat leidt tot identiteitsfraude -de kans daarop is niet gelijk aan nul- op te vangen (incasseren) per persoon verschilt. En alléén @Anoniem kan beoordelen hoe dat in zijn situatie/ leven is.

De formule die jij gebruikt is alleen van toepassing op groepsniveau (populatie); het is een statistische formule (kansberekening).
Statistische formules hebben een zeer beperkt nut voor individuen.
Wanneer een dokter tegen jou zegt: jouw overlevingskans van deze kanker is 99% dan kun jij tot de ongelukkige 1% behoren die overlijdt. Daarover kan geen enkele kansberekening jou uitsluitsel geven. Dat zul je moeten afwachten.

Het behoort tot de machtspolitek van maatschappelijke instituties, zoals banken, om hun verantwoordelijkheid voor mensen te verplaatsen naar statistische kansberekeningen.
Statistische formules zijn een manier om mensen van hun leven te vervreemden.

Zo wat een onzin zeg.

Er is geen wettelijke uitzondering die zegt dat banken datalekken niet hoeven te melden aan zijn cliënten, BEHALVE als de gelekte gegevens goed versleuteld waren en misbruik praktisch onmogelijk is, hoeft de bank klanten soms niet individueel te informeren. En dat heeft dus ook invloed op de kans.

Daarnaast is de formule R=KxI gewoon een algemeen geaccepteerde vorm van risicoinschatting. Dat een dokter zich beroept op een kans van 99% doet daar niets aan af. De inschatting van een kans van optreden is iets anders dan een feitelijkheid. Een risico is ook geen probleem. Een probleem is iets wat zich al heeft voorgedaan en een risico heeft een kans van optreden.

De schade van een datalek is ook al niet per individu bepalend, Dat is voor een hele grote groep mensen gewoon hetzelfde. Het zijn niet de statistische formules die gebruikt worden om mensen van hun leven te vervreemden, juist de steeds verschuivende abstracte vorm is daar de oorzaak van.

Dus kom met feiten. Hoe vaak heeft het opgetreden, wat was hier de oorzaak van en welke schade is er voor de cliënten opgetreden. En laat de individuele emotie en verontwaardiging hierbij buiten beschouwing.

Dat valt nog te bewijzen.
UAVG Art. 42.
https://www.noraonline.nl/wiki/ISOR:Uitzondering_op_melden_van_datalek_aan_betrokkene

Meldingsplicht van datalekken heeft géén enkele invloed op de kans dat datalekken optreden.
Nogmaals, de kans kan niet bepaald worden door @Anoniem en de banken informeren hun cliënten niet over de kans dat hun persoonsgegevens, zoals kopieën of scans van identiteitsbewijzen, gelekt of gestolen worden.
Het risicoprofiel van een bank is voor een klant dus niet aanwezig.
Dit was een voorbeeld om iets duidelijk te maken over het zeer beperkte nut van een kansberekening voor een (individuele) klant.
Exact.
Dat hangt helemaal af van degene voor wie het risico geldt, in dit geval de klant.
Nee, de kans dàt iets optreedt, dus het risico daarop is al een probleem.
Uiteraard afhankelijk van de draagkracht van degene die zich aan dit risico blootstelt.
Wanneer ik ga skiën in de bergen moet ik mijzelf van tevoren uiteenzetten met het risico dat ik naar beneden donder.
Toegepast op het lekken van kopieën van identiteitsbewijzen leidt dit ertoe dat mensen zich (terecht) afvragen wat er kan gebeuren wanneer dit lekken tot identiteitsfraude leidt.
Bankklanten moeten zich dus van tevoren uiteenzetten met het risico dat hun kopie paspoort door/bij de bank gelekt/ gestolen wordt en niet pas wanneer hun kopie paspoort op straat ligt.
Dat is niet waar.
De groep waarvoor het risico geldt is gedifferentieerd: er zijn zeer kwetsbare klanten en zeer robuuste klanten, die de schade van mogelijke identiteitsfraude na een lek van kopieën ID-bewijzen in verschillende mate kunnen opvangen.
Statistiek, kansberekeningen zijn een abstractie van het concrete, individuele leven.
Het is mij niet duidelijk wat je bedoelt met: "de steeds verschuivende abstracte vorm" ervan.
Ik heb het alleen maar over feiten.
Ook feiten die niet getalsmatig zijn uit te drukken, kwalitatieve feiten, zijn feiten.
Het begrip "schade" is zo'n feit. Het begrip kan zowel kwantitatief als kwalitatief gedefinieerd worden.
Ik hoef jou niet te vertellen dat het in onze huidige samenleving (economie) voornamelijk kwantitatief (euro's als rekeneenheid) in wetgeving behandeld wordt.
Dat is dus informatie die een bank niet kenbaar hoeft te maken aan haar klanten/ onder de pet kan houden.
En dat heeft dan alleen nog maar betrekking op het lekken van persoonsgegevens waarvoor de bank de verantwoordelijkheid draagt, kopieën paspoort, bijvoorbeeld. Dat er met die gelekte (of gestolen) persoonsgegevens vervolgens identiteitsfraude gepleegd kan worden, daarop heeft de bank helemáál geen zicht en in de huidige wetgeving een verantwoordelijkheid die aan nul grenst. Met dat risico wordt alléén de klant geconfronteerd die hiervan slachtoffer wordt.
Er is hier sprake van een zeer a-symmetrische machtsverhouding, die nodig rechtgetrokken moet worden.

Dus begin eerst maar eens met informatie aan te leveren over hoe vaak banken met succes gehackt worden want dat heeft consequenties voor de risico's waarmee klanten geconfronteerd kunnen worden.
Waar heb je het over?
Het gaat hier om het feit dat bankklanten met risico's moeten omgaan, die samenhangen met het steeds meer en frequenter moeten afstaan van persoonsidentificerende data, waarover zij geen enkel 'hard' cijfer, en dus geen enkel houvast hebben.

UAVG geldt alleen in het geval van
- Strafrechtelijke belangen: Het voorkomen, onderzoeken, opsporen of vervolgen van strafbare feiten.
- Rechten van derden: De bescherming van de privacy en rechten van andere betrokkenen.
- Veiligheid: Het waarborgen van de nationale of openbare veiligheid

en niet voor een datalek zoals bij Odido.
https://omgevingsweb.nl/wetgeving/uitvoeringswet-algemene-verordening-gegevensbescherming/hoofdstuk-4-uitzonderingen-en-beperkingen/artikel-41-uitzonderingen-op-rechten-betrokkene-en-plichten-verwerkingsverantwoordelijke/

Nee zo werkt het niet vriend. In dit geval is die kans gewoon 1 (laag) op een schaal van 5.

Je hebt het over kwetsbare groepen? Je bedoelt journalisten (want dit is zo'n beetje het elke dogma in een privacy discussie)? Die journalisten maken ook gewoon een risico afweging: welk risico loop ik op het genereren van ruchtbaarheid dor een helpdeskmedewerker van een bank te vertellen dat ik mij niet wil identificeren, ten opzichte van de kans dat als ik mij wél gewoon identificeer en er op reken dat een bank geen slachtoffer van ransomware wordt.

Oh dus het is tóch een principiële kwestie. Gewoon een geuzenstandpunt maken met zn allen. Laten we allemaal de banken bewust maken door allemaal AMP thuis te laten komen. Zoiets?

Even de jaarcijfers van 2025 er bij gehaald: het Nederlandse Centraal Meldpunt Identiteitsfraude (CMI) ontving in 2025 bijna 9.000 meldingen van (mogelijke) identiteitsfraude. Dat zijn meldingen; één melding staat niet automatisch gelijk aan één bewezen fraudezaak. Dat is 0,05% van de bevolking. Daartussen zitten ook nog alle fraudeurs tussen die zeggen dat ze slachtoffer zijn van identiteitsfraude om zo vervolging voor iets te ontlopen.

Vanuit risicoperspectief dus totale onzin en daarmee is het topic van dit onderwerp vooral een ideologisch en activistisch standpunt. En daar heb ik echt helemaal niets mee.

https://www.cbs.nl/nl-nl/longread/de-nederlandse-economie/2026/de-nederlandse-economie-in-2025/5-de-arbeidsmarkt

Dit komt uit UAVG art. 41, niet uit art. 42, wat specifiek voor financiële ondernemingen geldt.
Is dus irrelevant voor een bank.
Wederom UAVG art. 41.
Odido is géén financiële onderneming.
Dat zul je dan eerst aan een concrete bankklant, zoals oorspronkelijke @Anoniem moeten vragen of hij het met deze inschatting eens is want we hebben het hier ook over de risico-inschatting, zo je wilt risicoperceptie en risicoweging plus risico-adaptatie van een concrete bankklant.
Nee, ik dacht niet aan journalisten, maar aan bankklanten uit de onderste lagen van de samenleving, met bescheiden financiële middelen of eventueel al met schulden.
Dat zijn klanten die (meestal) geen kapitaalbuffers hebben om met identiteitsfraude om te kunnen gaan.
Je kunt alle conflicten of spanningsverhoudingen terugvoeren op (rechts)principiële zaken, zeker als je discussieert. Hoe je daar in de praktijk mee omgaat is vers twee. Ik zou zelf al tevreden zijn met de mogelijkheid om mezelf in een banklocatie binnen 10 km in persoon te kunnen identificeren.
Dit is weer alléén vanuit het perspectief van de groep geredeneerd. Daar hebben slachtoffers niets aan!
Vanuit het perspectief van m.n. slachtoffers met weinig financiële middelen is identiteitsfraude een levensontwrichtende gebeurtenis.
Banken ervaren het probleem van identiteitsfraude niet, maar individuele mensen.
En daarom is een statistische benadering ("maar 0.05 % van de bevolking") een éénzijdige benadering van dit maatschappelijke probleem.
Bij moord- en doodslag wordt ook alles uit de kast getrokken om slachtoffers te voorkomen.
Dus waarom niet bij identiteitsfraude en i.h.b. de preventie daarvan, namelijk het stoppen met identificatie op afstand?
Nee hoor, dat is het niet.
Jij hanteert een eenzijdige invalshoek waardoor je maar een deel van de werkelijkheid ziet.
Dat is gebrekkige kennis.
Daaraan vast blijven houden is pas ideologisch!
Dat is precies zoals statistische kennis, dus gebrekkige feiten, wordt ingezet: als een ideologie van zogenaamde neutraliteit of nog erger: van wetenschappelijkheid.

En wat moet deze link duidelik maken: ??

Nou dit is mijn laatste post in deze conversatie, want discussiëren doe ik gewoon in de kroeg of in het park.

Je haalt wat dingen door elkaar. De (I)mpact, oftewel het gevolg, is inderdaad voor iedereen uniek. Maar de (K)ans dat het optreedt is voor iedereen hetzelfde omdat dit gerelateerd is aan de bank. De beveiliging en interne processen van de bank bepalen immers of iets optreed. En die (K)kans is nihil hadden we al vastgesteld. Het (R)risico (kans x impact) is dus nihil (1) x de (I)mpact. Zelfs als die (I)mpact varieert tussen verschillende gebruikers blijft het (R)isico dus uiterst klein.

Dan de UAVG. Er zijn genoeg voorbeelden waarin banken hun klanten persoonlijk informeren, zoals de AddComm zaak vanuit de ABN Amro.

En dat is wat het is, een puur principiële en idealistisch statement. We zijn het niet eens met de wet op de heridentificatie (stel je toch eens voor dat iemand zich mentaal de balans van een banaan schrikt en denkt dat hij daarmee een verdachte is), en we zijn het ook niet eens met het sluiten van bankfilialen.

Oh, en iets anders interessants wat me opviel. Jij vind mensen met bescheiden financiële middelen of eventueel al met schulden een ander risicoprofiel dan iemand met 80K op de bank en een koopwoning.

Dit was mijn laatste bijdrage aan dit 1:1 draadje.

Ik heb al een tijdje een probleem met deze manier. Niet omdat ik niet mee wil werken, maar ik kom er gewoon niet doorheen.

Houd je identiteitsbewijs tegen de achterkant van je telefoon. De chip in je telefoon leest de gegevens uit van je ID.

Mijn chip in de ID kaart lijkt het niet te doen.
Niet op mijn telefoon en niet in de ASN winkel. Voor zover ik weet zou fysiek in de winkel identificeren met de kaart (en rijbewijs) ook voldoende moeten zijn. De mensen in de winkel geven aan van niet. Kan alleen met de chip volgens de medewerkers. Ik krijg dus elke keer uitstel, maar dat lost niks op.

Ik word dus eigenlijk gedwongen een nieuwe ID kaart te halen. Aangezien deze gewoon geldig is, ga ik dat in ieder geval niet op eigen kosten doen. De telefonische helpdesk was ook erg verbaast dat ik me niet op de fysieke manier mocht identificeren.

Ik zit ondertussen op de laatste verlening van het uitstel heb ik vernomen van de helpdesk medewerker.

Ben erg benieuwd hoe ik straks nog bij mijn rekening ga komen. Ben al een keer uitgesloten, omdat de medewerker in de winkel het uitstel niet had aangezet.

Iemand anders ook ervaringen hiermee?

Logisch toch, efficient en goedkoop (want minder mensen en kantoren nodig), dus meer winst voor de eigenaren.

Als de chip van je ID kaart defect is is de kaart niet meer geldig, ongeacht welke datum er op staat. Nu zal dat in de praktijk meestal geen problemen geven, maar ik zou er niet mee op reis gaan buiten het Schnegen gebied.

Voor hier in NL is dat geen probleem. En mij rijbewijs is gewoon geldig. Die kan ik hier ook voor ID gebruiken. Maar ik heb van geen enkele andere bank gehoord dat ik verplicht de chip moet uitlezen.

Volgens mij is dit ook geen verplichting. Maar blijkbaar kan ik er dan via de ASN niet omheen?? Wat mij meer doet klinken als een intern proces. Dan zou je er met een fysieke controle gewoon omheen moeten lijkt me.

Je kunt overstappen naar een andere bank. Je zult je bij elke bank moeten identificeren. Maar dat is je probleem niet.

Ga fysiek naar een bankfiliaal van een bank van jouw keuze en geef aan dat je een rekening wilt openen. Kijk eventueel welke banken rekeningen aanbieden zonder app of zonder internetbankieren als je dat wenst en wordt klant. Je hebt een jaar lang overstapservice. Ik ben zelf overgestapt van SNS (ASN) naar Rabobank omdat SNS de app gingen pushen terwijl ik zonder app wil internetbankieren op de PC. (Met een identifier)

Bij de Rabobank moest ik me identificeren bij de medewerker. Er is wel een app gebruikt maar dat deed de medewerker met haar app. Daar hebben ze mijn ID-kaart opgeslagen. Na enkele dagen kreeg ik de Rabo scanner thuisgestuurd zonder extra kosten.

Als de chip op de ID kaart trouwens niet werkt en dit niet ontstaan is door gebruikersschade dan kun je gratis een vervanging krijgen:
https://www.rvig.nl/chip-paspoort-identiteitskaart-uitlezen

Het doel gaat veel verder: alles digitaal betekent alles (uiteindelijk) herleidbaar tot de persoon, en daarmee controleerbaar.
Daar gaat dit maatschappijbrede proces van digitalisering over.
Het is letterlijk vertechniseren: het vervangen van alle (fysiek) persoonlijke interacties tussen mensen door een machine(s).
Wat mensen zelf zien en horen wordt in toenemende mate gediskwalificeerd: bankpersoneel mag niet zelf een klant (mens) identificeren, maar moet een machine gebruiken. Want "techniek kan veel meer dan menselijke zintuigen" - wat natuurlijk klopt, maar dat is alleen een pretext.
Techniek wordt altijd beheerd, draait niet uit zichzelf, werkt voor degenen die de techniek in eigendom hebben.
Is de techniek (decentraal) in eigendom van de bevolking (ik pleit hier niet voor eigendom van de staat) ? Nee.
Er wordt mondiaal (!) een digitale infrastructuur geïnstallleerd, die ten dienste staat van een (beperkt) aantal entiteiten.
Met één doel: controle van de bevolking (enigszins gedichotomiseerd naar Oosten - Westen; Angelsaksische hegemonie - andere grootmachten) door alle regimes, die op de planeet aan de macht zijn.

Een plek op internet waarop de zich uitbreidende, verdiepende en steeds 'smarter' wordende vertakkingen van deze digitale, gealgoritmiseerde infrastructuur op de planeet tot in detail onderzocht wordt is:

https://escapekey.substack.com/p/digital-public-infrastructure

De beheerder van deze website onderzoekt daarbij ook hoe deze structuren zich ontwikkeld hebben vanuit het (soms verre) verleden - geleid door politieke keuzes, die in de mensheid gemaakt worden.

(nieuwe anoniem)

Moet je dan niet terug naar de gemeente die je ID heeft uitgegeven, waar ze je een ID met een niet werkende chip hebben gegeven (zeg maar stuk, omruil garantie, gratis een nieuwe).

Maar goed dan kom je vast in de gemeentelijke bureaucratische molen waar ze het probleem ook op een ander afschuiven, zodra het geld kost (geen budget voor gereserveerd). Of ze zeggen bij de gemeente dat je ID al perfect is, en die chip niet zo belangrijk is (waarom stoppen ze die er dan in en waarom heb je die dan nodig voor je bankrekening)

Ik ben iets belangrijks vergeten te melden. De mevrouw van de klantenservice vroeg of ik nog een andere bankrekening heb. Die heb ik; een wat slapende rekening bij de Rabobank. Ze zei, dat met het tonen van het paspoort en de gegevens, die AMP overneemt, deze info vergeleken kan worden met de gegevens van de andere rekening. In dat geval hoeft er geen kopie/scan van mijn rekening gemaakt te worden.

Dat vind ik een vreemd verhaal. Dat zou betekenen dat ASN toegang heeft tot persoonsgegevens die Rabo, een compleet ander bedrijf, over je bijhoudt. Zo hoort dat niet te werken.

Het is mogelijk dat jij iets niet goed hebt opgevangen, dat overkomt de beste, het is ook heel goed mogelijk dat die mevrouw van de helpdesk niet heeft begrepen hoe het werkt en je verkeerd voorlichtte, dat gebeurt (helaas) ook makkelijk.

Kan de bank, zowel de ASN-bank (vragen) als de Rabobank (antwoorden), dat niet doen onder de Wwft?
Die hele heridentificatie-business wordt vanuit de Wwft aangestuurd en de operatie Regiobank _wordt_ASN-bank is in feite alleen een (toevallige) trigger -administraties synchroniseren en actualiseren- voor iets wat de ASN-bank sowieso moet, namelijk Wwft-'compliant' zijn.

Zo kwam ik volgende zin tegen op de website van de Nederlandse Vereniging van Banken:
https://www.nvb.nl/themas/digitaal-van-dienst/uw-persoonsgegevens/:
"Banken delen bepaalde klantgegevens ook onderling, om het risico op ernstige financiële fraude te verkleinen."
Even bij een collega-bank checken of persoon X, wonende te Y, met geboortedatum zzzz, met telefoonnummer xxxx en email-adres yyyy bij de collega een rekening heeft lijkt mij alleszins i.o.m. de Wwft aangezien het hier gaat om het valideren van een ID-bewijs.

Het feit dat @Anoniem heeft verklaard tegenover de ASN-Bank dat hij een rekening bij de Rabobank heeft kan als toestemming in de zin van de AVG gelden (voor de AVG-liefhebbers).

(nieuwe anoniem)

En "daar gelden zeer strenge regels voor, waar de Autoriteit Persoonsgegevens toezicht op houdt." Als je kijkt naar wat dat dan kan zijn zie je op die pagina "data delen tegen criminaliteit", waar verwezen wordt naar het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI), en dat staat hier:
https://www.autoriteitpersoonsgegevens.nl/documenten/protocol-pifi-2026
Dat gaat over een gedeeld incidentenregister waar je inkomt na crimineel gedrag zoals bijvoorbeeld het plegen van fraude. Dat is geen basis voor het overnemen van de id-check van een andere bank als er geen sprake is van crimineel gedrag door jou.
Dat lijkt mij helemaal niet zo. Strenge regels betekenen dat heel precies aan die regels voldaan moet worden, en dat is iets heel anders dan heel nonchalant zo breed mogelijk interpreteren zonder goed te kijken wat er staat. Ik zie tot nu toe nergens staan dat dit kan.

Die toestemming moet volgens de AVG specifiek, geïnformeerd en ondubbelzinnig zijn. Als de betrokkene tegen ASN alleen maar zegt dat die een rekening bij Rabo heeft is dat nog geen toestemming, en zeker geen specifieke en ondubbelzinnige. En als het als toestemming zou gelden is die toestemming aan ASN verleend, niet aan Rabo, dus Rabo heeft daarmee helemaal geen basis om gegevens te mogen delen met ASN, daarvoor moet die toestemming aan Rabo worden gegeven. Rabo moet kunnen aantonen dat de betrokkene die toestemming heeft verleend, en "ASN zegt dat de betrokkene zegt dat ..." is dan wel erg dun.

Maar je hebt in zoverre gelijk dat dit delen inderdaad kan als er ergens een wet is die bepaalt dat het kan. Een van de grondslagen voor verwerking van persoonsgegevens in de AVG is een wettelijke verplichting. Ik kom alleen niet tegen dat die wet er is en welke dat dan is, die heel duidelijk toestaat dat AMP, als die op dat moment namens ASN werkt, zomaar gegevens die Rabo heeft zou kunnen gebruiken om mee te vergelijken. Dat doorkruist dingen die normaal echt niet mogen. Daarom vind ik dat een vreemd verhaal.

Hier anoniem van gisteren, 16.54 uur.

Zou dat delen mogen als ik IDIN heb aangevinkt in mijn Regiobank-omgeving? Het staat op uit, trouwens.

Als de AVG-grondslag toestemming is moet je die toestemming uitdrukkelijk geven voor precies dat delen. Het is niet zo dat als je het een aanzet je daarmee per ongeluk het andere hebt toegestaan. Het moet duidelijk zijn.

Als de grondslag iets anders is dan toestemming, bijvoorbeeld een wettelijke verplichting, moet daar ook echt een wet voor bestaan en moet de bank dat in zijn privacyreglement aangeven.

Een belangrijk element van de AVG is dat dingen behoorlijk duidelijk moeten zijn. Dat is moeilijk waar te maken, want de AVG zelf is al knap ingewikkeld, maar het zou terug te vinden moeten zijn. Misschien kan je, als je zin hebt om zo ver te gaan, het privacystatement van ASN doorworstelen. Daar moet in ieder geval ook instaan hoe je contact kan opnemen met hun functionaris gegevensbescherming. Je zou die kunnen vragen hoe het nou eigenlijk zit, als het je niet lukt het antwoord zelf te vinden.

Mijn (door jouw aangevochten) interpretatie van de Wwft is niet dat de AMP Group de Rabobank mag opbellen, maar de ASN-bank.
Zij zou dit kunnen doen vóórdat ze opdracht aan AMP geeft om de bankklant te identificeren, zodat AMP een beperkte verificatie kan uitvoeren i.c. géén kopie/ scan ID-bewijs, zoals die mevrouw van de klantenservice aangeeft.
Ik ben het met je eens dat mijn interpretatie van de Wwft een zeer ruime is en mogelijk niet houdbaar voor een rechter.
Je kunt de boodschap van die mevrouw opvatten als een miskleun, zoals jij doet, of als een uitlating die aangeeft hoe de ASN-bank tewerk gaat (waar rook is, is vuur).
Wat zijn de waarborgen dat het personeel van de ASN-bank de Wwft èn de AVG interpreteert i.o.m. een rechter-resistente interpretatie van deze wetten?
Een overtreding van de AVG kan voorzover ik zie alléén door de klant geconstateerd worden.
Wanneer deze concrete mevrouw_klantenservice_ASN niét expliciet tegen @Anoniem had gezegd dat AMP nu géén kopie/scan van zijn ID-bewijs hoeft te maken dan had @Anoniem nooit het verband gelegd met het feit dat hij heeft gemeld dat hij een rekening bij de Rabobank heeft.

Het is bekend dat er een spanningsrelatie tussen de Wwft en de AVG bestaat, m.n. op het gebied van het onttrekken van private gegevens aan bankklanten_natuurlijke personen in het kader van het onderzoeken van betalingstransacties.
Zoals ik het zie is de Wwft een hele vage wet, die de banken heel veel ruimte biedt om te interpreteren - wanneer precies vormt een klant resp. zijn betalingstransactie(s) een risico m.b.t. witwassen en terrorisme? En hoe moet er precies gehandeld worden om het risico in kaart te brengen/ te isoleren/ af te bakenen?
Daar komt bij dat de Wwft fungeert als de eerste fase in een proces van strafrechtelijke vervolging dus oh wee als de bank een betalingstransactie mist, waarvan achteraf uitkomt dat dat een witwastransactie was of een transactie naar een "terrorisme"-sympathisant_familielid_in_een_ver_land.
Dat is zo'n beetje het politieke klimaat.
Dus het verbaast mij niets wanneer de bank dingen doet die in strijd zijn met de AVG.
Want zeg nou zelf: hoeveel maatschappelijk belang wordt er toegekend aan (het handhaven van) de AVG in vergelijking met de politieke druk, die op banken uitgeoefend wordt om de Wwft te laten werken?
Maar wat moet er gebeuren voordat al die AVG-overtredingen uitkomen? En hoeveel kunnen banken niet onderling regelen zonder dat er een (oplettende) bankklant naar kraait?

Zou je willen laten weten hoe de identiteitscontrole van de AMP Group is gegaan: mét of zònder het maken van een kopie/scan van je paspoort?

Lees je wel mee?

Hij geeft toch al aan dat AMP bij hem geen kopie paspoort heeft gemaakt, en dat dit mogelijk komt doordat deze info vergeleken kan worden met de gegevens van de andere rekening. In dat geval hoeft er geen kopie/scan van zijn rekening gemaakt te worden.

Anoniem heeft dus twee bankrekeningen. Bij de ene bank ligt zijn kopie ID al en bij de andere bank is de identificatie via AMP gegaan.

Zelf vraag ik mij opnieuw waar hij zich dan zo druk om maakt. Een bank heeft zijn ID dus al.

Onzin.

De AVG kent als verwerkingsgrondslag het voldoen aan een wettelijke verplichting. De Wwft vormt zo'n wettelijke verplichting. Daardoor mogen persoonsgegevens worden verwerkt voor zover dat noodzakelijk is om aan de Wwft te voldoen.

Waar lees je dat?
Waar staat deze voltooid verleden tijd?

Als je halverwege in een discussie komt inzeilen, lees het hele draadje, blokje voor blokje, even terug vanaf 30-05-2026, 11:23 dan weet je het

Je roept te snel Onzin. De Wwft bevat een wettelijke verplichting voor banken om voldoende te onderzoeken of er sprake is van witwassen en fraude, maar zegt niet hoe de banken dat precies moeten doen. Er moet in concrete gevallen een redelijke aanleiding zijn voor het opeisen van persoonsgegevens van bankklanten. Er staat nergens in de Wwft dat onschuldige klanten biometrische gegevens aan de bank moeten afstaan, en ook niet dat de bank biometrische gegevens van de klant zou moeten eisen.

Jij haalt twee dingen door elkaar, namelijk dat de Wwft iets niet uitsluit (klopt) en dat de Wwft iets verplicht zou stellen (dat klopt niet, ook al proberen veel controlefreaks te doen alsof dat er wel staat).

Alleen als er uit de Wwft een plicht voortvloeit om bepaalde, specifieke persoonsgegevens te verwerken, is de betreffende wettelijke grondslag van de AVG geldig (artikel 6.1 onder c). Anders niet.

In de praktijk wordt de Wwft vanuit politieke motieven¨in het huidige, autoritaire, antivrijheidsklimaat heel vaak geïnterpreteerd alsof die allerlei gegevensverwerking verplicht stelt, terwijl het in veel van die gevallen eigenlijk alleen gaat om wensen van inlichtingendiensten en politici die vinden dat "het moet". Helaas zitten veel rechters ook in die antidemocratische bubbel en volgen dan de wil van het autoritaire bestuur, in plaats van de rechtsstaat en onze grondrechten te beschermen.

"In de praktijk", "autoritaire, antivrijheidsklimaat", "wensen van inlichtingendiensten", "antidemocratische bubbel". Dit klinkt vooral als speculatie, iets wat privacyactivisten graag zouden willen laten geloven.

Kom met feiten.

Kom jij als antiprivacyactivist maar eens met feiten dat het niet zo is. Dan praten we verder.

De Hoge Raad heeft geoordeeld dat een gewone foto of selfie niet automatisch een biometrisch gegeven is. Daarvoor is een specifieke technische verwerking nodig die tot unieke identificatie leidt, zoals gezichtsherkenning of een biometrische template.

Tevens:
Art. 33 Wwft bevat regels voor instellingen voor het bewaren van bewijsstukken. Deze bepaling luidt, voor zover relevant, als volgt:

“1 Een instelling die op grond van deze wet cliëntenonderzoek heeft verricht (…) legt op opvraagbare wijze de documenten en gegevens vast die zijn gebruikt voor de naleving van het bepaalde in artikel 3, tweede tot en met vierde lid (…).

Onder de documenten en gegevens, bedoeld in het eerste lid, zijn ten minste begrepen:
a. van natuurlijke personen (…):
1. de geslachtsnaam, de voornamen, de geboortedatum, het adres en de woonplaats, dan wel de plaats van vestiging van de cliënt alsmede van degene die namens die natuurlijke persoon optreedt, of een afschrift van het document dat een persoonidentificerend nummer bevat en aan de hand waarvan de verificatie van de identiteit heeft plaatsgevonden;
2. de aard, het nummer en de datum en plaats van uitgifte van het document met behulp waarvan de identiteit is geverifieerd;

Tevens:
Uit art. 33 lid 1 en lid 3 Wwft volgt dat de instelling verplicht is om de documenten en gegevens die zijn gebruikt voor het cliëntenonderzoek op opvraagbare wijze vast te leggen en gedurende vijf jaar te bewaren na het einde van de zakelijke relatie of de incidentele transactie. Het tweede lid van art. 33 Wwft specificeert welke gegevens en documenten die zijn gebruikt voor de identificatie van de cliënt en de verificatie van diens identiteit, bewaard moeten worden.


https://uitspraken.rechtspraak.nl/details?id=ECLI:NL:HR:2026:392

Hier weer dezelfde Anoniem als hierboven door andere Anoniem geciteerd. Uit de door jou hier genoemde tekst blijkt niet(!) dat de Wwft de opslag van biometrische gegevens zou vereisen. Wel blijkt hieruit dat de Hoge Raad het makkelijk wil maken voor organisaties om met een beroep op de Wwft toch biometrische gegevens op te eisen.

Je ziet hier dat de Hoge Raad de bescherming die de AVG lijkt te bieden, uitholt. Dat is een politieke keuze die deze rechters maken, ten nadele van de burgers. Want natuurlijk bevat een pasfoto wel degelijk biometrische gegevens. Het komt de heren/dames rechters echter even niet goed uit om dat ook volmondig te erkennen en te constateren. Dus dan buigen ze de werkelijkheid een beetje bij in hun interpretaties.

Een juiste interpretatie zou zijn dat die biometrische gegevens er in een pasfoto gewoon zijn, maar dat het daarnaast gaat om de vraag of de biometrische gegevens ook "verwerkt" worden. Bij een zichtcontrole op een paspoort (bijv. door een douanebeambte), waarvoor de foto op een paspoort oorspronkelijk bedoeld was, worden er geen gegevens verwerkt. Wanneer een kopie van het paspoort wordt opgeslagen door een organisatie, worden die biometrische gegevens echter wel verwerkt. En al helemaal wanneer zo'n kopie digitaal(!) wordt opgeslagen en als gevolg daarvan voor veel meer organisaties en personen laagdrempelig toegankelijk wordt.

De Hoge Raad veronachtzaamt dus het onderscheid twee dingen:
- de vraag of er wel/niet sprake is van biometrische gegevens;
- de vraag of die biometrische gegevens wel/niet worden verwerkt.
Zo wordt de werkingskracht van de AVG door de Hoge Raad uitgehold.

Daarnaast bestaat er nog het vereiste in de AVG van "dataminimalisatie". Er moet dus onderscheid gemaakt worden tussen verschillende soorten(!) verwerking. Het bewaren van één enkel geprint kopietje van een paspoortpagina in een fysiek kluisje (bijv. van een hotel) is iets heel anders dan het opslaan van een digitale kopie in een systeem dat verbonden is met internet.

Dat soort onderscheiden worden door rechters vaker weggemoffeld om het voor het politieke bestuur makkelijker te maken om meer surveillance te implementeren.

Voorbeelden van hoe rechters vaak te werk gaan bij het wegmoffelen van zaken, vallen te vinden in:
https://privacyfirst.nl/wp-content/uploads/2026-05-22-prv-cor-beroep-int-treintickets-privacy.pdf
https://privacyfirst.nl/wp-content/uploads/2026-02-19-Rechtspraak-noise-of-time.pdf

Zo zie je maar dat privacyactivisten (en hun hersenloze volgers) zelf ook de context verdraaien na een uitspraak van De Hoge Raad. De Hoge Raad stelt heel duidelijk dat "de opslag van een foto, anders dan [de kaarthoudster] stelt, niet kan worden aangemerkt als de verwerking van een biometrisch gegeven.

Dat is voor de privacyactivisten een heel vervelende uitslag in deze casus, maar als foto's wél als biometrisch gegeven zouden zijn aangemerkt kun je publiek internet wel uitzetten. Het is dan ook niet de rechter die de privacy uitholt, het zijn de rechtszaken van privacyjuristen die het gebruik van persoonsgegevens juist juridisch legitimeren.

Je zwetst.
Geef de concrete post(s) aan !

Exact. En het gaat ook over de grondslag van de Wwft.

Op 13 maart j.l. heeft de Hoge Raad prejudiciële vragen gesteld aan het Hof van Justitie EU of een creditcardmaatschappij (= een financiële onderneming) een kopie van het ID-bewijs mag bewaren:

https://www.buzzsprout.com/1905138/episodes/18899057

Dataminimalisatie houdt in dat bij het verzamelen en verwerken van persoonsgegevens niet meer gegevens mogen worden gebruikt dan nodig is om het doel waarvoor ze gebruikt zullen worden te bereiken.

Dit:
betekent het dus niet

Het maakt helemaal niet uit of je een kopie opslaat in een kluis of dat je het opslaat in een digital systeem. Zolang je maar niet méér gegevens opslaat dan nodig is voor het doel en het ook niet gebruikt voor meerdere doelen.

In de casus KYC zegt de Hoge Raad:
“1 Een instelling die op grond van deze wet cliëntenonderzoek heeft verricht (…) legt op opvraagbare wijze de documenten en gegevens vast die zijn gebruikt voor de naleving van het bepaalde in artikel 3, tweede tot en met vierde lid (…).

Onder de documenten en gegevens, bedoeld in het eerste lid, zijn ten minste begrepen:
a. van natuurlijke personen (…):
1. de geslachtsnaam, de voornamen, de geboortedatum, het adres en de woonplaats, dan wel de plaats van vestiging van de cliënt alsmede van degene die namens die natuurlijke persoon optreedt, of een afschrift van het document dat een persoonidentificerend nummer bevat en aan de hand waarvan de verificatie van de identiteit heeft plaatsgevonden;"

Er moet achteraf kunnen worden aangetoond op welke grond een besluit genomen is. Bijvoorbeeld in de afhandeling van een klacht van een benadeelde klant. Ook hier gaat de Hoge Raad in mee:

Uit art. 33 lid 1 en lid 3 Wwft volgt dat de instelling verplicht is om de documenten en gegevens die zijn gebruikt voor het cliëntenonderzoek op opvraagbare wijze vast te leggen en gedurende vijf jaar te bewaren na het einde van de zakelijke relatie of de incidentele transactie. Het tweede lid van art. 33 Wwft specificeert welke gegevens en documenten die zijn gebruikt voor de identificatie van de cliënt en de verificatie van diens identiteit, bewaard moeten worden.

Door van KYC een heel punt te maken graaft PrivacyFirst zelf een graf onder privacy. Als je nergens en niets wil toegeven verleg je de standaard door vonissen als deze. De extra juridische vragen die zijn gesteld aan het Europese Hof gaan hier ook niets aan veranderen. Hooguit komen ze met richtlijnen voor opslag en monitoring van de gegevens. Dat zu dan ook automatisch betekenen dat een bank helemaal niet meer verplicht (moreel en rechtmatig) hoeft te voelen voor het inzetten van een oplossing zoals AMP.

Ze schieten hier (en hebben dat al gedaan) enorm in hun eigen voet. En die van jou en mij. Waarvoor dank.

Dat hangt af van hoe je de AVG en het begrip "dataminimalisatie" interpreteert. Het is inmiddels wel duidelijk dat de Hoge Raad, net als veel andere rechters, geen vriend is van bescherming van het recht op privacy.

De juiste interpretatie is als volgt. Het gaat niet alleen om welke gegevens er worden verwerkt, maar ook om wat er met die gegevens wordt gedaan. Als je geboortedatum bijvoorbeeld honderd jaar wordt bewaard in twintig archieven, terwijl het voor het doel in kwestie hooguit nodig is om het twee weken te bewaren in één van die archieven, dan is er niet(!) voldaan aan het vereiste van dataminimalisatie. Begrijp je het nu beter?

Dat maakt dus wel degelijk uit. Want het brengt verschillende, andersoortige risico's met zich mee. Het subsidiariteitsbeginsel vereist van de verwerkingsverantwoordelijke dat die kiest voor de minst privacy-invasieve methode van verwerking.

Het op "opvraagbare wijze vastleggen" kan ook zijn dat bijvoorbeeld het nummer van een paspoort wordt geregistreerd. Dan kan het later altijd worden opgevraagd. De biometrische gegevens zelf hoeven niet te worden verwerkt.

Je volgt hier dezelfde redenering als D. Trump wanneer die zegt dat de Iraniërs het aan zichzelf te danken hebben als "hun beschaving wordt vernietigd" met Amerikaanse bommen, omdat ze (of althans hun regime) niet wat meer willen toegeven aan Trumps wensen. Dit is de redenering van een bully. Je laat jezelf hiermee wel kennen.

Dat is inderdaad heel goed mogelijk. Zoals gezegd, de rechterlijke macht is in de EU zo met de uitvoerende macht verweven geraakt, dat er van een serieuze machtenscheiding op veel rechtsgebieden nauwelijks meer sprake is. Privacy is zo'n rechtsgebied. De kans is dus inderdaad aanzienlijk dat de Europese rechters hun zegen verlenen aan de verdere afbraak van privacy. Toch heeft het Europese Hof ook gezegd dat er sprake moet zijn van een "objectiveerbare noodzaak" voor gegevensverwerking. Het is niet objectiveerbaar dat een pasfoto zou moeten worden opgeslagen om een paspoort te kunnen opvragen.

Moreel gezien is de Wwft in zijn huidige vorm zelf al een aanfluiting en een schandaal, net als heel wat andere wetten die door ons parlement van hielenlikkers zijn aangenomen. Ethiek is al heel lang niet een sterke kant van het Nederlandse bestuur of Nederlandse bestuurders. De schijnheiligheid heeft in Nederland enorme proporties aangenomen.

Als het gaat om rechtmatigheid, dan is dat wat de wetgever en de rechters vinden. In China is het rechtmatig om mensen op te sluiten in "heropvoedingskampen" of ze jarenlang onder huisarrest te plaatsen als ze oproepen tot democratisering van het land. Rechtmatigheid zegt niet zoveel meer als een bestuur zelf diep gecorrumpeerd is.

In Nederland is er sprake van zeer vergaande, en ook verregaand genormaliseerde netwerkcorruptie. De meeste bestuurders en ambtenaren zijn zo gewend om in het bruine water van netwerkcorruptie te zwemmen, dat ze zich daarin als een vis in het water voelen en denken dat bruin de natuurlijke, heldere kleur van water is. Ze noemen die kleur "transparant", omdat ze niet (meer) in staat zijn zich voor te stellen wat echte bestuurlijke en persoonlijke transparantie is.

Als je voet er al door anderen afgeschoten is, kun je jezelf niet meer in de eigen voet schieten. Je kunt dan alleen nog roepen dat je voet eraf is of wordt geschoten, en dat er een chirurg moet komen om je voet er weer aan te zetten. Dat is wat privacyactivisten in veel gevallen doen. Als ze niks zouden roepen, zou die voet er echt niet zomaar vanzelf weer aan groeien.

Jij bent meer iemand die dan tegen privacyactivisten zegt dat ze er niet over moeten zeuren dat hun voet er is afgeschoten, omdat de Hoge Raad dat goedkeurt en ook omdat het hun eigen schuld is dat dat is gebeurd, omdat ze zo onaardig doen met hun kritiek.

Dat veranderd helemaal niets omdat de Hoge Raad al heeft vastgesteld dat een foto niet als biometrisch gegeven geldt.

Ik verdraai de uitspraak van de Hoge Raad niet. Ik neem het standpunt in dat de Hoge Raad hier aperte onzin verkondigt. Een pasfoto bevat biometrische gegevens, dat is evident. Het bewaren van gegevens valt onder de definitie van "verwerking" in de AVG. Daarom is het bewaren van een pasfoto een verwerking van biometrische gegevens. De Hoge Raad zit op dat punt in een bubbel van ontkenning, omdat het erkennen van deze simpele waarheid politiek niet goed uitkomt, en de Hoge Raad vindt politieke gehoorzaamheid kennelijk belangrijker dan het volgen van de wet op dit punt.

Waarom? Waarom zou dat nodig zijn?
Wat bedoel je hier met "publiek internet"? De websites van overheden kunnen bijvoorbeeld prima functioneren zonder dat er biometrische gegevens worden gepubliceerd. Ook het kadaster kan dan prima functioneren. Etc. etc.

Bizarre onlogica. Als de rechter zou gaan erkennen dat biometrische gegevens (shock horror...) biometrische gegevens zijn, dan zou dat juist heel goed zijn voor (de bescherming van onze) privacy.

Het staat er voldoende omschreven in zijn eigen woorden. Lees het.

Wat?!

(1) Biometrische gegevens zijn unieke, meetbare fysieke, fysiologische of gedragsmatige kenmerken waarmee een persoon kan worden geïdentificeerd. Omdat een foto plat is zijn hier geen meetbare fysieke, fysiologische of gedragsmatige kenmerken uit te ontlenen.

(2) Het bewaren van gegevens valt onder de definitie van "verwerking" in de AVG. Ik neem aan dat je hier (bijzondere)persoons gegevens mee bedoelt?

(3) Je stelling dat het bewaren van een pasfoto hierdoor een "verwerking van biometrische gegevens" betreft, slaat kant nog wal.

De AVG gaat over de verwerking van persoonsgegevens. Een bijzondere categorie is bijzondere persoonsgegevens. Biometrie valt onder bijzondere persoonsgegevens. Een pasfoto niet, een pasfoto valt onder de verwerking normale persoonsgegevens.


Zo werkt het technisch niet.

Heel internet (ook allerlei archief websites) staan vol met foto's van mensen. Als al deze foto's onder biometrische gegevens zouden vallen, zouden ze vallen onder bijzondere persoonsgegevens en mogen ze niet op publiek internet staan.

Dat is ook precies de reden van deze uitspraak van de Hoge Raad, en dit zal ook precies de reden zijn dat er op de aanvullende vraag ontkennend geantwoord zal worden door het Hof.


Hier is helemaal niets onlogisch aan. Zolang PrivacyFirst niets [geeft (verwerking persoonsgegevens onder bepaalde voorwaarde toestaat) krijg je dit soort uitspraken.

Overigens ontkent de Hoge Raad niet dat biometrische gegevens, biometrische gegevens zijn. Biometrische gegevens zijn alleen geen gewone persoonsgegevens en foto's zijn ook geen biometrisch gegeven.

Dit heeft helemaal niets met dataminimalisatie te maken maar met het overschrijden van de bewaartermijn.


Nee.

Kort gezegd: onder de WWFT wordt de subsidiariteit begrensd door de wettelijke verplichtingen van de WWFT. De instelling moet de minst privacy-invasieve verwerking kiezen voor zover dat verenigbaar is met haar WWFT-verplichtingen. De WWFT bepaalt dus vaak welke gegevens minimaal moeten worden verwerkt, terwijl de AVG voorkomt dat er méér wordt verwerkt dan noodzakelijk is.


Jaja. Jij bent lekker. Dus we verwachten van een Odido dat ze niet verder gaan dan de opslag van datzelfde documentnummer, maar als jij dan door een datalek ineens onverifieerbaar subject wordt in een WWFT onderzoek, is het zeker weer niet goed?


Hier ga ik niet op in. Wat een offtopic onzin haar je erbij.


Nou, niet helemaal. Ik heb niets met activisme. Niet met klimaat-, dieren-, Palestina-, en/of privacyactivisme. Die strijden niet "alleen maar voor de goede zaak", ze hebben ook allemaal een saviourcomplex waarin ze anderen menen te vertellen wat goed voor hen is.

Lees je wel mee?





Ik ben de anoniem. En ik heb nergens geschreven, dat die check al door het AMP gedaan is. Leer eens lezen.

Correct.
De spanningsrelatie heeft echter betrekking op de kern van beide wetten: enerzijds de bescherming van de privacy en de bescherming van persoonsgegevens onder de GDPR/AVG en anderzijds het bestrijden van criminaliteit in de vorm van witwassen en het financieren van terrorisme onder de Europese richtlijn/Wwft.
Dat zijn twee conflicterende belangen: de grootst mogelijke bescherming van privacygevoelige, persoonlijke data van natuurlijke personen vs. de meest doeltreffende bestrijding van criminaliteit.
Eerstgenoemde vereist het beperken en afschermen van persoonlijke gegevens, laatstgenoemde vereist het openleggen en verzamelen van zoveel mogelijk persoonlijke gegevens.
Er moet dus een manier gevonden worden om die twee divergerende belangenrichtingen met elkaar in balans te brengen.
Dat lukt maar beperkt. Er zijn meerdere punten waarop de vereisten van de AVG het onderspit delven op de vereisten van de Wwft.
Eén van die punten is bij het beginsel van proportionaliteit van de gegevensverzameling, wat een AVG-vereiste is. De Wwft kent dat beginsel niet. En omdat volgens de Wwft alle bankklanten onderzocht moeten worden, maar daarbij niet heeft vastgelegd hoe ver de banken (en alle andere soorten financiële ondernemingen) daarbij mogen gaan ontstaat hier een rechtsruimte waarin de rechten van de mens beschadigd worden.
De Wwft heeft het karakter van een surveillance-regime, ze werkt als een sleepnet (risico-benadering).
Dat verdraagt zich per definitie niet met het beschermen van de privacy van mensen.

Zolang de AVG er is bevat overweging 51 al deze zin:
Daar staat dat het uitdrukkelijk de bedoeling is dat de AVG zo wordt uitgelegd als de Hoge Raad heeft gedaan. Die heeft dus geen onzin verkondigd, die heeft de wet zorgvuldiger gelezen dan jij kennelijk hebt gedaan en hem toegepast zoals die van begin af aan bedoeld is. Als de Hoge Raad dat niet zou doen zou die op de stoel van de wetgevende macht gaan zitten in plaats van aan wetten te toetsen. Zelfs als de uitkomst je in dit specifieke geval niet zint mag je blij zijn dat de Hoge Raad de rechtsstaat hier ondersteunt en niet ondermijnt.

Als je wil dat dit anders wordt geïnterpreteerd dan is de Hoge Raad hier niet het probleem, dan moet je streven naar een aanpassing van de AVG op dit punt zodat rechters op een andere basis gaan toetsen. Sta er dan wel bij stil dat je een levensgroot risico loopt dat er dan geen foto's met mensen erop meer in de krant mogen staan, dat tv onmogelijk wordt, dat nu goed toegepaste bewakingscamera's niet meer mogen en nog veel en veel meer. Die regels hebben namelijk niet alleen maar op die ene specifieke situatie betrekking, die zijn veel en veel breder dan dat. Wat natuurlijk precies de reden is dat overweging 51 die zin bevat.

Dat een foto "plat" is, is wel de meest onzinnige drogreden die je kunt bedenken. Op een foto, bijvoorbeeld een vooraanzicht zoals bij pasfoto's wordt geëist (ja, dáárom wordt dat geëist!) staan unieke kenmerken van het gezicht van een natuurlijke persoon, bijvoorbeeld de verhoudingen tussen de afstanden tussen ogen, mondhoeken, kin, boven- en onderkant oren lengte tussen bovenkant mond, neuspunt en de lijn tussen de ogen. Die worden in allerlei computerprogramma's gebruikt om mensen te identificeren.

Je gaat toch ook niet zeggen dat als biometrische kenmerken "in digitale code" worden opgeslagen, het opeens geen biometrische kenmerken meer zouden zijn? Om te bepalen of(!) er sprake is van biometrische kenmerken, moet je kijken naar die kenmerken zelf, niet naar de manier waarop ze worden opgeslagen. Hoe ze worden opgeslagen is wel van belang voor een beoordeling van andere zaken, zoals of er voldaan wordt aan het beginsel van dataminimalisatie.

Ik bedoel hiermee artikel 4 onder 2 AVG, waar de "verwerking" van persoonsgegevens wordt gedefinieerd.

Maak dat dan maar eens duidelijk, waarom die stelling kant noch wal slaat.

Inderdaad.

De drogredenering die je hier volgt, is deze:

Drogredenering:
Premisse A: Een pasfoto valt volgens de Hoge Raad onder verwerking van normale persoonsgegevens omdat het geen bijzondere persoonsgegevens bevat..
Premisse B: Een biometrisch gegeven is volgens de AVG een bijzonder persoonsgegeven.
Premisse C: Wat de Hoge Raad zegt, is altijd correct. De Hoge Raad is namelijk onfeilbaar.
Gevolgtrekking D: Dus kan een pasfoto geen bijzonder persoonsgegeven bevatten.
Gevolgtrekking E: Dus kan een pasfoto geen biometrisch gegeven bevatten.
Gevolgtrekking F: Dus zijn de gegevens op een pasfoto geen biometrische gegevens.
Gevolgtrekking G: Dus is de verwerking van een pasfoto geen verwerking van een biometrisch gegevens.

Dit is een drogredenering omdat premisse C niet klopt. De kern van je drogredenering is niet meer dan: "De Hoge Raad zegt dat het zo is dus moet het wel kloppen." Jij denkt niet zelfstandig, je volgt een autoriteit, ook als die autoriteit iets zegt dat evident onjuist is. Lees Orwells "1984" nog eens en analyseer dan eens je eigen manier van denken en redeneren.

Je sluit impliciet (stilzwijgend) de mogelijkheid uit dat de Hoge Raad om politiek-bestuurlijke redenen zich geroepen voelt om iets te beweren dat feitelijk onjuist is. Wie ook maar iets afweet van rechtsgeschiedenis, weet dat in de loop der tijd allerlei rechters in strijd met de waarheid van alles hebben geroepen en ontkend. Meestal om machthebbers te gerieven, maar ook wel om het volk te gerieven of om ongemakkelijke waarheden niet onder ogen te hoeven zien. Wakker worden! De echte wereld is niet zoals in de utopie van een juridische fundamentalist.

Dat is onjuist. Met vrijwillige toestemming van de betrokkenen (de natuurlijke personen) mogen ze dan wel degelijk op internet staan. Het staat eenieder vrij zijn eigen pasfoto op Facebook, LinkedIn en de hele mikmak te zetten.

Een krant moet toestemming vragen voordat ze een foto van je nemen en publiceren, tenzij je geacht wordt een "publieke persoon" te zijn op grond van eerdere toestemmingen, bijvoorbeeld als je als politicus aan de pers een interview hebt gegeven voor het oog van de camera.

Voor het opslaan van je belastinggegevens of kadastrale gegevens, is het helemaal niet nodig om (afbeeldingen op/van) pasfoto's te bewaren.

Tientallen jaren lang was het prima mogelijk om al die administratieve handelingen goed te verrichten zonder gebruik te maken van pasfoto's. Die technieken zijn niet opeens verdwenen. Technisch is het dus nog steeds prima mogelijk.

Je zegt: "Zo werkt het technisch niet." Maar je bedoelt eigenlijk: "Zo willen onze huidige machthebbers het niet."

Want die machthebbers willen onze persoonsgegevens, inclusief onze biometrische gegevens, ook als dat "technisch" niet nodig is.

Shoshana Zuboff heeft in 2019 in haar boek "The Age of Surveillance Capitalism" al het zogeheten "onvermijdelijkheidsdenken" (inevitabilism) geanalyseerd waarmee tech lords en de massasurveillance-fanaten bij overheden proberen om de bevolking wijs te maken dat het onvermijdelijk zou zijn dat al hun persoonsgegevens constant worden verzameld en bewaard, zonder hun toestemming. Vaak wordt daarbij een beroep gedaan op de vermeende "technische" onvermijdelijkheid daarvan. Dat is wat jij nu ook doet. Je papegaait tech lords en surveillance fanaten na.

Impliciet doet de Hoge Raad dat ook.

Als de Hoge Raad dan eerlijk zou zijn, dan zou de Hoge Raad zeggen: "In de AVG staat dat biometrische gegevens niet zonder strikte noodzaak mogen worden verwerkt. Wij, de Hoge Raad, zijn het daarmee niet eens, want we vinden het "technisch" nodig dat die gegevens wel worden verwerkt. Daarom schuiven wij de wet nu opzij en decreteren dat voortaan biometrische gegevens in strijd met de wet toch zonder strikte noodzaak mogen worden verwerkt."

Maar dat zegt de Hoge Raad niet, want die wil de schijn ophouden dat we in een rechtsstaat leven, de schijn dat hij zelf onafhankelijk rechtspreek en de schijn dat hij daarbij de wet volgt.

Dus gaat de Hoge Raad over tot ontkenningsgedrag, om zijn eigen politieke keuze te verhullen. Opeens zijn biometrische gegevens volgens de Hoge Raad geen biometrische gegevens meer als ze op een pasfoto staan.

De Hoge Raad gedraagt zich hier een beetje als een keizer die in een fluwelen mantel rondloopt maar van zichzelf beweert dat hij bloot is. (Het omgekeerde van wat er in het sprookje "De nieuwe kleren van de keizer" gebeurt.)

Privacy First volgt gewoon de wet. Een NGO als Privacy First kan op dit punt helemaal niets "toestaan", want zo'n NGO heeft daarvoor niet de bevoegdheid en ook niet de macht. Het enige wat zo'n NGO kan doen, is zich beroepen op de wet.

In dit specifieke geval ontkent de Hoge Raad dat de biometrische gegevens die op een pasfoto staan, biometrische gegevens zijn.

Kijk, op een foto van een wolkenlucht of van een levenloze rotspartij, daar staan geen biometrische gegevens op. Maar op een foto van het gezicht van een natuurlijke persoon, daar staan wel biometrische gegevens op. Dat komt doordat er tegenwoordig technieken bestaan waarmee de kenmerken van zo'n foto geautomatiseerd kunnen worden gemeten en geanalyseerd. En dit alles op een zodanige manier dat het herleidbaar is tot een persoon. Dit ook los van de gegevens waaraan die biometrische gegevens direct kunnen worden gekoppeld (bijv. paspoortnummer, BSN-nummer, NAW-gegegvens, geboortedatum). De unieke combinatie van biometrische gegevens in een paspoort is op zichzelf al voldoende om met een zeer hoge mate van waarschijnlijkheid te kunnen worden herleid tot een specifieke natuurlijke persoon, zodra een afbeelding van die persoon zich in een beschikbare databank bevindt.

Er is een sterke politieke en zakelijke lobby om mensen hun privacy af te pakken. De Hoge Raad geeft daaraan gehoor, gaat mee in het aan haar voorgespiegelde "onvermijdelijkheidsdenken" en verzint dan een drogredenering waarom de politieke en commerciële machthebbers zich niet meer aan de wet (de AVG) hoeven te houden. Daarmee verzaakt de Hoge Raad haar eigen taak om onafhankelijk recht te spreken. Dat is wat er hier gebeurt.

We leven niet meer in een rechtsstaat. Dat wil jij niet onder ogen zien.

Lees de door jou geciteerde zin maar eens goed: "...aangezien foto's alleen onder de definitie van biometrische gegevens vallen wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken." De digitale opslag van pasfoto's is zo'n technisch middel.

Sterker nog, ook als een pasfoto op papier wordt uitgeprint en dan in een bureaula wordt bewaard, dan is dat ook zo'n technisch middel. Want met de huidige stand der techniek kan die uitgeprinte foto op elk gewenst moment worden ingescand en vervolgens op geautomatiseerde wijze worden geanalyseerd op een manier die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maakt.

De formulering in de AVG houdt op dit punt rekening met het voortschrijden der techniek. De Hoge Raad wil dat niet onder ogen zien.

Wat betreft de door jou gevreesde consequenties als we de opslag van foto's van mensen niet meer klakkeloos zouden toestaan, die vrees is niet nodig. Zoals ik in mijn vorige posting vandaag al zei, mogen kranten nu ook al geen foto's van geïnterviewden plaatsen zonder hun voorafgaande toestemming. Bij personen in publieke functies (bijv. ministers of woordvoerders van grote organisaties die de pers te woord staan) is dat nu al anders. Daar is sprake van toestemming (art. 6.1.a AVG) en/of een publieke noodzaak (art. 6.1.e AVG), en dan mag het van de AVG. Eventueel kunnen er voor bepaalde gevallen ook wettelijke verplichtingen worden geschapen (art. 6.1.c AVG), bijvoorbeeld dat mensen in bepaalde publieke functies (limitatieve opsomming) verplicht zijn om hun gezicht aan het publiek te tonen.

TV blijft dan ook prima mogelijk, maar niet in de huiskamer zonder toestemming van de betrokkenen. Als er op straat wordt gefilmd (documentaires), moet wellicht de resolutie van het filmen van de gezichten van toevallige voorbijgangers in sommige gevallen worden verlaagd (grovere pixels). Het maken van films met een fictief verhaal blijft prima mogelijk, want dan geven de acteurs, inclusief de figuranten, toestemming. In het geval van bewakingscamera's zal er een strikte noodzaak moeten worden aangetoond. Dat lijkt me heel gezond, gezien de huidige wildgroei aan bewakingscamera's op openbaar terrein, en de slordigheid waarmee data in allerlei kwetsbare en misbruikbare systemen wordt opgeslagen.

Dus ja, een samenleving waarin de privésfeer van mensen weer wordt gerespecteerd, dat lijkt mij een heel goede zaak.

Misschien handig om hier iets recht te zetten over de AVG-uitleg, omdat het volgens mij precies bepaalt waar je je bezwaar moet plaatsen.

De redenering eerder was dat digitale opslag op zichzelf het "technisch middel" is dat een foto biometrisch maakt. Daar zit één woord tussen dat in de Nederlandse vertaling makkelijk verdwijnt, namelijk *specifiek*. Artikel 4 onder 14 AVG en overweging 51 spreken in het Engels over "specific technical processing" die als resultaat eenduidige identificatie mogelijk maakt of bevestigt.

Drie elementen werken cumulatief:

- een gerichte technische bewerking;
- die als output een unieke biometrische representatie oplevert (template, feature vector, embedding);
- *bedoeld voor* eenduidige identificatie of authenticatie van die specifieke persoon.

JPEG-compressie en bestandsopslag voldoen aan geen van die drie. Ze bewaren een afbeelding als afbeelding. Pas als een algoritme uit dat plaatje vectoren afleidt die personen expliciet als individu onderscheiden, ontstaat een biometrisch gegeven in de zin van de AVG. Anders zou elke digitale foto in elk dossier automatisch onder artikel 9 vallen, en dat is precies wat overweging 51 wil uitsluiten.

De Hoge Raad bevestigde dit op 13 maart 2026 (ECLI:NL:HR:2026:392): het enkele opslaan van een pasfoto is geen verwerking van biometrische gegevens. De face match die de leverancier in de app uitvoert is dat hoogstwaarschijnlijk wél.

Hier zit ook meteen waarom de discussie eigenlijk niet alleen over artikel 9 AVG moet gaan. Wie de zaak op die grond aanvalt, geeft de bank een eenvoudig verweer: "wij slaan alleen een foto op, dat is geen biometrie." Het werkelijke zwaartepunt zit op twee andere plekken:

- Artikel 5 lid 1 sub c AVG (dataminimalisatie): een bank mag niet meer gegevens verwerken dan noodzakelijk voor het Wwft-doel.
- Artikel 6 lid 1 sub c AVG: de Wwft schrijft voor *dat* je geïdentificeerd moet worden, niet *hoe*. De Uitvoeringsregeling Wwft 2018 noemt elektronische identificatie als optie, niet als verplichte methode.

Voor zover er wel een biometrische template wordt gegenereerd (face match), moet de bank dat dragen onder artikel 29 UAVG. De AP legt die noodzaak strikt uit en eist een zwaarwegend algemeen belang (de Memorie van Toelichting noemt helaas alleen het voorbeeld van een kerncentrale...). Het bestaan van een werkbaar alternatief zonder biometrie ondergraaft die noodzaakstoets direct (er is een subsidiair middel die de inbraak onevenredig maakt).

Ik heb intussen contact gehad met ASN over mijn eigen klacht, en daar kwamen twee dingen uit.

Het identificatieproces in de app loopt via Signicat. ASN schrijft daarover letterlijk: *"Voor identificatie via de app maken we gebruik van de leverancier Signicat. Deze leverancier verzorgt het digitale identificatie- en verificatieproces en koppelt een zogenoemd 'identificatieverslag' terug aan ASN Bank. Dit identificatieverslag bevat geen biometrische gegevens. De verwerkte gegevens worden binnen 30 dagen door de verwerker verwijderd en worden uitsluitend binnen de EER verwerkt. Wel is de vestigingslocatie van een aantal subverwerkers buiten de EER."*

Goed om te weten dat het verslag richting ASN zelf geen biometrie bevat. Dat de subverwerkers deels buiten de EER zitten, is een apart aandachtspunt rond doorgifte onder hoofdstuk V AVG, maar speelt los van deze discussie.

ASN heeft dit overigens nog niet opgenomen in hun privacyverklaring, wat erg spijtig is. Zij hebben aangegeven hier wel mee bezig te zijn; voor mij helaas te laat.

Belangrijker voor de bezwaarvraag: ASN heeft aan mij bevestigd dat identificatie zonder gezichtsherkenning wél degelijk mogelijk is, via een externe leverancier die thuis langskomt. Het kantoor zelf bleek van foute informatie uit te gaan en is inmiddels geïnstrueerd om die optie aan te bieden.

Praktisch is dat fijn voor wie hier tegenaan loopt. Juridisch is het ook relevant: met de erkenning dat een niet-biometrisch alternatief werkt, geeft ASN feitelijk toe dat de biometrische route niet noodzakelijk is voor het halen van het Wwft-doel. Dat is precies waar de noodzakelijkheids- en subsidiariteitstoets om draait.

Korte conclusie: leg een klacht niet bij "elke foto is biometrie", maar bij noodzaak, subsidiariteit en de keuzevrijheid om voor het niet-biometrische alternatief te kiezen. Dat is de kant waar de wet je daadwerkelijk steunt.

Hier de Anoniem die jij citeert. Dank voor deze informatieve toelichting. Wat we hier zien, is dat er in de AVG (overweging 51) subtiele "kleine lettertjes" zijn opgenomen, nota bene zo subtiel dat ze in de Nederlandse vertaling ervan onduidelijk worden, die elke reële privacy-bescherming op dit punt onderuit halen als rechters dat zo willen interpreteren.

- Want wat is een "gerichte" technische bewerking? Dat is volkomen subjectief interpreteerbaar. Want het officiële, retorische doel waarop een bewerking zogenaamd is "gericht", hoeft niet het echte doel te zijn. We weten allemaal dat function creep telkens optreedt, en dat die ook van te voren al ingecalculeerd wordt door verwerkingsverantwoordelijken.

- En wat is "een unieke biometrische representatie? Waarom wordt een "template, feature vector, embedding" WEL beschouwd als "uniek, biometrisch" maar een exacte, fijn-pixelige afbeelding (bijv. een JPEG) niet? Terwijl die in de praktijk net zo "uniek en biometrisch" is. Dat is puur een subjectieve keuze om niet onder ogen te hoeven zien dat een JPEG net zo bruikbaar is als representatie, en om ook niet onder ogen te hoeven zien dat een JPEG met de huidige technieken elk moment kan worden omgezet in een template, feature vector, embedding of welk technisch "format" ook.

- En dan de ultieme, in de wetsinterpretatie opgenomen drogredenering. Of het wel of niet gaat om een "biometrisch gegeven" zou afhangen van wat de "bedoeling" is van degene die dat gegeven verwerkt. Met een dergelijke interpretatie wordt de bijl gelegd aan de wortel van elke mogelijkheid om tot een objectiveerbaar, kenbaar criterium te komen voor de beoordeling of iets een biometrisch gegeven is. Heeft het amalgaam van wetgevers/wetsinterpreteerders nog nooit gehoord van de mogelijkheid dat verwerkingsverantwoordelijken niet transparant communiceren of zelfs maar denken over hun "bedoelingen"?

Deze wetsinterpretaties is gespeend van realiteitszin als het gaat om het bieden van serieuze privacy-bescherming.


Dit betekent dat de Hoge Raad hiermee een enorm gat creëert in de rechtsbescherming van burgers tegen ongewenste verwerking van biometrische gegevens.

Daar ben ik het helemaal mee eens. Artikel 9 AVG functioneert als onderdeel van een groter systeem van interpretaties waarin een groot aantal "loopholes" zitten ingebouwd om toch biometrische gegevens te kunnen verzamelen en op elk moment verder te kunnen verwerken, zonder dat de betrokkenen (de natuurlijke personen) zelfs maar kunnen controleren of dat ergens in één of ander digitaal systeem gebeurt - binnen of buiten de EU/EER. Dit maakt van de bescherming van biometrische gegevens een lachertje.

Dat klopt, maar alleen omdat(!) er sprake is van de betreurenswaardige feitelijke omstandigheid dat deze "loopholes" in een combinatie van wet en wetsinterpretatie zijn ingebouwd en inmiddels door bestuur en rechterlijke macht normaal worden geacht. De rechten die burgers aan de voorkant lijken te hebben (bescherming tegen verwerking van biometrische gegevens) zijn aan de achterkant stiekem weggehaald met behulp van kleine lettertjes.


In de huidige omstandigheden, d.w.z. in het thans gevoerde juridische gevecht, komt het zwaartepunt inderdaad daar te liggen. Burgers en NGO's zoals Privacy First zijn al teruggedreven uit één belegerde stad ("Stad 1") en verschansen zich nu in een andere, resterende, inmiddels ook belegerde stad ("Stad 2").


Inderdaad goed om te weten, maar het doet niets af aan:
- het feit dat die verwerking van biometrische gegevens wel degelijk plaatsvindt, namelijk door het bedrijf Signicat,
- en het feit dat talloze ASN-klanten (inclusief ikzelf) simpelweg te horen kregen dat het laten inscannen van die pasfoto "moet".


Exact. Dank voor deze informatie. Dit ga ik zeker met ASN communiceren. Ze zetten al een tijd lang druk op mij om mijn pasfoto te laten inscannen, met steeds frequentere, in mijn nek hijgende brieven, terwijl ik daar al eeuwenlang klant ben, en ASN zelf ook zegt dat ze "niet twijfelen" aan mijn identiteit. Ze hebben dus helemaal geen inhoudelijke reden om mij te heridentificeren, maar zeggen dat "het moet van de Wwft".

Dat ga ik zeker doen. (Ik zal het allebei aanvoeren - "Stad 1" en "Stad 2".) Blij dat ik nog even gewacht heb totdat deze informatie van jou hier op de site kwam.

Overigens beweerde de medewerker van ASN telefonisch eerst dat het alleen mogelijk was om een klacht "via de app" in te dienen. Toen ik vroeg naar een e-mail-adres of een postadres zei hij dat dat "er niet is". Na nog een beetje standhouden van mijn kant kwam hij alsnog met een postadres op de proppen. Elke centimeter terrein moet je als klant op deze manier bevechten.

F---ing weirdo's zijn ze bij die bank geworden. Techslaafjes en techbullies. Heeft niks meer met respect voor klanten te maken. Dit is niet meer de bank waar ik ooit een rekening afsloot.

Maar goed, dat is een ontwikkeling die we de afgelopen twintig jaar maatschappijbreed hebben zien optreden, in bijna alle sectoren van de maatschappij. Als er ooit ergens een bank komt die het weer op een menselijke manier gaat doen, dan boek ik mijn spaargeld meteen daarnaartoe over. Maar ze zullen wel niet toestaan dat zo'n bank er komt. Dan gaan ze duizend drempels opwerpen, bijvoorbeeld met verwijzing naar de Wwft. F---ing technofascisme zijn we in terecht gekomen.

Klinkt leuk, die toetsen, maar als je dit volgens de letter interpreteert dan betekent dit, dat biometrische gegevens überhaupt niet door beide toetsen komen omdat er een niet-biometrisch alternatief is.
Een niet-biometrisch alternatief -een AMP medewerker die even komt kijken of jij lijkt op het ID-bewijs dat je overhandigt en die daarvan het documentnummer noteert- bevat ALTIJD minder persoonsgegevens dan een biometrisch gegeven.

Hoe zat het ook alweer met die kerncentrale die als voorbeeld gegeven wordt om aan te tonen, dat het "echt heel noodzakelijk is" om biometrische identificatie toe te kunnen passen?
Banken worden door deze niet-consequente toepassing van de betreffende toetsen op hetzelfde veiligheidsrisico-niveau gebracht als kerncentrales!
Het is gewoon gemakzucht van banken, die hier gehonoreerd wordt.

(nieuwe anoniem)

.... dat is i.o.m. de militarisering van de maatschappij - 'all wars are bankers' wars' ;).
Overigens staat het postadres op de website van de ASN-bank (een postbusnummer in Utrecht).
Dus je zou ook meteen een klacht kunnen indienen over misleidende informatie van een bankmedewerker naar de klant.

De redenering "er bestaat een niet-biometrisch alternatief, dus biometrie kan nooit noodzakelijk zijn" volgt namelijk niet uit de AVG. De noodzakelijkheidstoets vraagt niet of er überhaupt een alternatief bestaat, maar of er een redelijk alternatief bestaat dat het doel even effectief bereikt binnen de organisatorische en praktische context.

Dat betekent niet automatisch dat biometrie onrechtmatig is, maar wel dat ASN concreet moet uitleggen waarom de biometrische route alsnog noodzakelijk of proportioneel is ten opzichte van het alternatief. En niet aan de klant of burger, maar aan de AP.

Leg uit: waarom een bank met niet-biometrische identificatie van een bankklant het doel identiteitsverificatie niet net zo effectief bereikt als met biometrische identificatie en/of waarom niet-biometrische identificatie niet het redelijke alternatief voor biometrische identificatie is.
Over de noodzakelijkheidstoets:
"In de kern houdt deze toets in dat een organisatie moet kunnen aantonen dat de verwerking van specifieke persoonsgegevens onmisbaar is om een bepaald legitiem doel te bereiken. Het is niet voldoende dat de gegevensverwerking louter handig, efficiënt of winstgevend is; er moet een werkelijke noodzaak bestaan die niet op een minder ingrijpende wijze kan worden ingevuld." (https://meld.nl/melding/avg-advocaat/noodzakelijkheidstoets-avg/)
Identiteitsverificatie met gebruikmaking van biometrische gegevens is altijd ingrijpender dan met gebruikmaking van niet-biometrische gegevens. Daarover kan geen twijfel bestaan want dan zou de wetgever beide typen gegevens op één lijn hebben gesteld en dat is niét het geval want biometrie is in principe verboden (bijzonder persoonsgegeven) tenzij er een zwaarwegend algemeen belang aangevoerd kan worden (beveiliging van een kerncentrale of van staatsgeheime informatie).
Biometrie is niet automatisch onrechtmatig, maar vergt een zwaarwegend algemeen belang; een belang wat dus zwaarder weegt dan voor niet-biometrie.
De AP noemt op haar website niet dat de houder van een bankrekening een dergelijk zwaarwegend algemeen belang zou vertegenwoordigen.
M.i. kan de bank een dergelijk belang dan ook niet aanvoeren.

Ja.

Op de eerste plaats heeft De Hoge Raad al een uitspraak gedaan dat een foto nioet direct een biometrisch gegeven is.
Daar kun je het mee eens zijn of niet, maar achter deze zin staat een punt.

Dan maak je twee denkfouten:
1) De bank hoeft jou/de klant helemaal niets uit te leggen. Ze moeten iets uitleggen aan de AP.
2) Het gebruik van biometrie is helemaal niet gebonden aan kerncentrales of staatsgeheime informatie.

Nee, dat is een technisch middel, niet zo'n technisch middel. Als je het wel zo restrictief interpreteert dat je systematisch elke opslag en bewerking van foto's opvat alsof het daaronder valt, omdat biometrie later op elke foto met een gezicht erop kan worden losgelaten, dan negeer je dat overweging 51 je expliciet vertelt dat je de verwerking van foto's nou juist niet systematisch mag beschouwen als een verwerking van bijzondere categorieën van persoonsgegevens.

Die overwegingen staan er niet voor niets. Als jouw interpretatie botst met zo'n overweging vertelt dat jou dat de wettekst niet zo bedoeld is als jij hem interpreteert. Als je zo'n wettekst leest alsof die dingen helemaal los van elkaar staan, alsof die overwegingen je geen informatie geven over hoe de wettekst bedoeld is, dan zit je met dichtgeknepen ogen en vingers in je oren naar de door jou gewenste interpretatie toe te redeneren. Daar ga je je gelijk niet mee halen.

Iemand heeft al op je gereageerd en (opnieuw) op die uitspraak van de Hoge Raad gewezen. Ik wijs opnieuw erop dat die uitspraak van de Hoge Raad klopt met hoe overweging 51 aangeeft dat je de wettekst moet interpreteren. Volgens mij had de Hoge Raad niet anders kunnen oordelen zonder op de stoel van de wetgever te gaan zitten en daarmee buiten zijn boekje te gaan, wat ik ook al heb aangegeven. Als je hardnekkig blijft volhouden dat die wettekst anders geïnterpreteerd moet worden dan zo duidelijk, en al op meerdere niveaus, is aangegeven, dan probeer je een lekkende hoofdkraan te repareren door aan de keukenkraan te sleutelen, dan negeer je waar het probleem werkelijk zit.

Laat dus tot je doordringen waar je probleem echt zit en maak jezelf niet iets anders wijs. Je verandert de werkelijkheid waarin je leeft niet door te vinden dat die anders is. Met realiteitszin bereik je meer.

Met "zo'n" technisch middel verwees ik naar de definitie in de door mij geciteerde zin zelf: "technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken". Dus het gaat wel degelijk om "zo'n" technisch middel. Graag beter lezen en stoppen met onjuiste suggesties wekken over wat ik heb gezegd.

Een andere Anoniem (niet jij) wees er vervolgens op (08-06-2026, 11:58) dat in de Engelse versie van de AVG sprake is van "specific technical processing", wat in de Nederlandse versie is vertaald als "bepaalde technische middelen". Ik heb vervolgens op 08-06-2026 om 14:22 uur daarop gereageerd en bedankt voor deze extra informatie.

Daarbij heb ik tevens aangegeven dat dat niets verandert aan mijn mening dat de Hoge Raad hier kiest voor een interpretatie die nodeloos nadelig is voor de bescherming van burgers tegen de nodeloze verwerking van hun biometrische gegevens. Dat is dus een burgervijandige interpretatie die de Hoge Raad (mogelijk in navolging van even burgervijandige jurisprudentie van Europese rechters) willens en wetens hanteert. Het huidige technofascisme kan zeker ook uitgedragen en afgezegend worden door rechters, net zoals klassiek fascisme een kleine eeuwe geleden kon worden, en ook werd uitgedragen en afgezegend door talloze rechters in het Derde Rijk.

Hier volgen nog even de genoemde, relevante teksten uit de AVG, in het Engels en in het Nederlands:

Uit overweging 51 AVG:


Het sleutelwoord is hier: "allowing" / "mogelijk maken". In mijn bijdrage gisteren op 08-06-2026 om 14:22 uur heb ik al uitgelegd dat de vastlegging van pasfoto's als simpele JPEG-afbeeldingen, gezien de huidige stand der techniek, feitelijk de unieke identificatie of authenticatie van de betreffende natuurlijke persoon reeds mogelijk maken. Daarmee voldoet zo'n afbeelding aan het hierboven in overweging 51 AVG geciteerde criterium.

Dat is wat de Hoge Raad weigert te onderkennen. En wat jij ook weigert te onderkennen.

De basis voor mijn interpretatie is niet dat ik pasfoto's "systematisch" zou beschouwen als een verwerking van bijzondere categorieën van persoonsgegevens. Dat doe ik niet. De basis voor mijn interpretatie is wel dat ik onderken dat het bewaren van pasfoto's feitelijk, in de praktijk, gezien de beschikbare technologie anno nu (2026) de identificatie en authenticatie van natuurlijke personen reeds mogelijk maken, waarbij die identificatie/authenticatie dan ook meteen gekoppeld is aan hun unieke lichaamskenmerken.

Mijn interpretatie botst niet met de tekst van de AVG, maar wel met de interpretatie van de Hoge Raad.

Dat kun jij als autoriteitsgevoelige en autoritair denkende persoon vervelend vinden, en mij dan proberen neer te zetten als iemand wie het ontbreekt aan "realiteitszin", maar daarmee laat je alleen maar zien dat jij zelf niet onafhankelijk denkt en geen kritiek wilt tolereren.

De redenering die jij volgt is vergelijkbaar met de redenering van iemand die tegen een verzetsstrijder onder het Nazi-regime, of tegen een dissident onder het Sovjet-regime, zegt dat die geen "realiteitszin" heeft omdat die niet gewoon gehoorzaamt aan de overmacht van het regime, inclusief de rechters van dat regime. Daarmee laat je jezelf kennen als iemand die zich, als er van een autoritair regime sprake is, opstelt als meeloper of handlanger daarvan.

Ik heb groot respect voor dissidenten en mensenrechtenstrijders zoals Maria Ressa (journalist in de Filippijnen) of Narges Mohammadi (strijdster voor vrouwenrechten in Iran). Die vrouwen hebben honderd keer zoveel lef en doorzettingsvermogen als ik, en ze hebben niet voor niets de Nobelprijs gekregen. Het zou niet in me opkomen om te suggereren dat zij een gebrek aan "realiteitszin" hebben. Integendeel, zij zien de realiteit, in al zijn grimmigheid, onder ogen en kiezen ervoor om datgene te doen wat hun geweten hun opdraagt.

Iraanse rechters hebben Mohammadi keer op keer veroordeeld tot zware gevangenisstraffen, waardoor haar gezondheid inmiddels zwaar is aangetast. Moet ik dan maar net als jij gaan doen en bestraffend gaan zeggen (ik parafraseer jouw laatste post):

"Volgens mij had de Iraanse rechter [xx Hoge Raad] niet anders kunnen oordelen zonder op de stoel van de wetgever te gaan zitten en daarmee buiten zijn boekje te gaan, wat ik ook al heb aangegeven. Als Mohammadi [xx je] hardnekkig blijft volhouden dat die wettekst anders geïnterpreteerd moet worden dan zo duidelijk, en al op meerdere niveaus, is aangegeven, dan probeert zij [xx je] een lekkende hoofdkraan te repareren door aan de keukenkraan te sleutelen, dan negeert zij [xx je] waar het probleem werkelijk zit.

Laat dus tot haar [xx je] doordringen waar je probleem echt zit en maak jezelf niet iets anders wijs. Zij [xx Je] verandert de werkelijkheid waarin zij [xx je] leeft niet door te vinden dat die anders is. Met realiteitszin bereik je meer."

Dit is het gewauwel van mensen die zich slaafs onderwerpen en genieten van hun eigen slaafse onderwerping aan regimes die mensenrechten schaden, en die dan, omdat ze zelf keurig in de pas lopen met onfrisse regimes, anderen de les menen te kunnen lezen en de maat menen te kunnen nemen. Je stelt je op als een lakei van de macht.

De zwarte toga en het befje van een rechter maken een rechter nog niet tot een morele of legitieme autoriteit. Dat kan alleen de onafhankelijkheid en de kwaliteit van diens rechtspraak doen. Op het gebied van privacy gedraagt de Hoge Raad zich hier niet beter dan een rechter in een autoritair bestuurd land.

Mensen die een houding aannemen zoals jij doet, brengen de rechtsstaat schade toe. Ga je maar schamen.

Facebook haalde al jaren voor de AVG in werking trad met Deepface 97% herkenning, en in 2011 al gaven de Europese toezichthouders aan het uitrollen van gezichtsherkenning door Facebook te onderzoeken:
https://www.cnet.com/tech/services-and-software/facebook-facial-recognition-prompts-eu-privacy-probe/

Ik neem aan dat het rond die tijd geweest moet zijn dat tijdens een uitstapje met een groep mensen die elkaar voor het grootste deel nog niet eerder hadden gezien iemand een goerpsfoto voor op Facebook maken. Ik bedankte daarvoor en stond naast hem terwijl hij die foto nam, keek mee op het scherm van zijn smartphone, en ik zag direct nadat die foto genomen was vierkantjes rond de meeste gezichten verschijnen met de namen van die mensen erbij. Echt, floep, de mensen waren vrijwel direct herkend.

Je hebt het helemaal niet over ontwikkelingen die zich pas na de invoering van de AVG hebben voorgedaan, dat was jaren daarvoor al indrukwekkend ver en de Europese privacytoezichthouders waren daarvan op de hoogte. De AVG is opgesteld terwijl dat al lang en breed kon en de privacytoezichthouders, die bij die wetgeving betrokken waren, wisten dat.

Als je "allowing/mogelijk maken" zo ver mogelijk oprekt kan je camera's gaan verbieden, en laten we tekenaars en schilders die goed lijkende portretten kunnen maken niet vergeten. Oei, dan zijn verf, potloden en houtskool ook problematisch, en canvas en papier. En mogen we nog wel beeldschermen hebben als die het tonen van foto's mogelijk maken? En computers als daar gezichtsherkenningsalgoritmes op kunnen draaien? Zo ver gaan is onzin natuurlijk, er is ergens een grens, en het doet ertoe waar die gelegd is. Overweging 51 geeft aan waar die grens gelegd is, en dat is domweg niet waar jij vindt dat die grens ligt.

Nee, ik wijs je gewoon op iets dat niet klopt aan hoe jij de werkelijkheid waar je mee te maken hebt opvat.

Je kraamt onzin uit omdat je niet kan accepteren dat iets anders kan zitten dan hoe jij het opvat.

Ik schaam me totaal niet, en ik breng de rechtsstaat geen schade toe door te erkennen dat iets zo in de AVG staat als het erin staat. Ik wijs je er alleen maar op dat jij volgens mij niet ver gaat komen als je je energie richt op iets anders dan er feitelijk aan de hand is. Je kan een stuk effectiever zijn als je je energie richt op hoe het wel zit.

Volgens mij is het als volgt. Een foto bevat gewoon biometrische kenmerken (zoals verhoudingen tussen grootte en afstand van de ogen, mond, neus en oren).

Dus met een kopie paspoort (laat staan de data vanuit de NFC chip) worden gewoon biometrische kenmerken opgeslagen. De noodzaak van het opslaan van zo'n kopie is twijfelachtig (je kunt ook minder data opslaan om aan te tonen dat je de identificatie hebt uitgevoerd), maar wordt door de Hoge Raad toegestaan (met alle risico's vandien).

Op het moment dat men een gezichtsopname (zoals een selfie) van je wil vergelijken met de foto uit het ID bewijs, dan is er wel degelijk sprake van biometrische verwerking. Aangezien er minder ingrijpende alternatieven zijn, kan dit alleen op vrijwillige basis uitgevoerd worden. De bank zal dus een alternatief moeten aanbieden (zoals analoge verificatie op kantoor/via AMP groep (die overigens ook een kopie van het ID bewijs maakt).

Bij de ING weet ik in ieder geval dat eea nog analoog op het kantoor (servicepunt) kan. Ook dan wordt wel een kopie ID bewijs gemaakt.

waarom hebben banken een foto van mijn gezicht nodig dan?
Ze hebben deze de afgelopen 30 jaar nog nooit nodig gehad.
Ik betaal netjes m'n hypotheek en sta niet te veel rood. Dan is de bank tevreden.
Wat moet er geverifieerd worden ineens? Of ik wel een gezicht heb?

Ik denk dat je het behoorlijk goed ziet. Artikel 9 van de AVG, eerste lid, stelt (vet door mij toegevoegd):
Biometrische gegevens verwerken is op zichzelf niet verboden, verwerking ervan met het oog op de unieke identificatie van een persoon is verboden. Tenzij een van de uitzonderingen op dat verbod uit het tweede lid geldt, natuurlijk.

Ja. En? Ik heb in mijn vorige posts juist gezegd dat er in de betreffende formulering van overweging 51 van de AVG (in werking getreden in 2018) al rekening wordt gehouden met het voortschrijden van de techniek.


Ik rek niets op. En nee, als mijn interpretatie wordt gevolgd, kun je helemaal geen "camera's gaan verbieden" etc.

Je probeert hier verwarring te zaaien door het opeens over het verbieden van technische middelen te gaan hebben (camera's, verf, potloden, papier en beeldschermen). Maar daar gaat het niet om. Niemand pleit daarvoor, en het is ook niet relevant in deze zaak. Het gaat om de vraag wie er welk technisch middel in welke situatie voor welk doel mag gebruiken om biometrische persoonsgegevens mee te verwerken.

Als ik in mijn eigen privé-huishouden een camera of een computer wil gebruiken voor enige vorm van gegevensverwerking, dan gaat de AVG daar niet eens over (huishoudelijk gebruik). Als ik een selfie van mezelf of een portretfoto van mijn neefje in mijn woonkamer aan de muur hang, dan staan daarop biometrische gegevens, maar dat is geen enkel probleem.

Als een conducteur in de trein een pasfoto op of in mijn papieren identiteitsdocument met zijn blote oog bekijkt om te controleren of ik wel recht heb op mijn jongerenkorting, dan is dat ook geen enkel probleem, want dan is er geen sprake van gegevensverwerking.

Als ik mijn eigen pasfoto op mijn eigen computer voor mijn eigen plezier biometrisch laat analyseren met behulp van een door mij vrijwillig geladen app, dan is dat ook geen enkel probleem.

Schilders of tekenaars die op een bedrijfsuitje de portretten tekenen van deelnemers die daarin vrijwillig hebben toegestemd, is ook geen enkel probleem. En in de rechtbank mogen professionele tekenaars ook portretten tekenen.


Je volgende poging om verwarring te zaaien, is door te doen alsof er sprake is van een ééndimensionaal spectrum aan mogelijkheden, d.w.z. één enkele lijn waarop ergens "een grens" moet worden gelegd. Dat is onjuist. Er is sprake van multidimensionale situaties waarin op basis van een combinatie van criteria een beslissing moet worden genomen of een bepaalde gegevensverwerking(!) in een bepaalde complexe situatie is toegestaan of niet. Het gaat dus om een "grens" in een multidimensionaal spectrum.

Ik heb in mijn vorige posts al uitgelegd waarom overweging 51 AVG, als je de tekst daarvan goed leest, duidelijk maakt dat een fotografische afbeelding van een menselijk gezicht, gezien de stand der techniek anno nu, geacht moet worden biometrische gegevens te bevatten. De vraag is dan vervolgens waar je "een grens" legt als het gaat om de verwerking van die biometrische gegevens, als dat gebeurt zonder vrijwillige instemming van de betrokkene. Die vraag mag niet omzeild worden door, zoals de Hoge Raad helaas doet, in strijd met de in overweging 51 AVG geformuleerde criteria, valselijk te stellen dat er bij een pasfoto anno 2026 (stand der techniek!) geen sprake zou zijn van biometrische gegevens.

Ik heb vaker geconstateerd dat rechters soms willens en wetens vaagheid en onduidelijkheid creëren om voor zichzelf meer ruimte te creëren voor subjectieve oordeelsvorming, ten koste van de kenbaarheid van het recht, en daarmee ten koste van de rechtsbescherming van burgers. Op die manier wordt rechtspraak gereduceerd tot een facade van pseudo-rechtsbescherming, waarbij in feite de subjectieve goedwillendheid van rechters (ingefluisterd door allerhande lobbies) maatgevend wordt, in plaats van kenbare wetgeving. De letter van de wet blijft dan weliswaar kenbaar, maar niet meer de betekenis van de woorden in de wet, want die wordt vaag gemaakt en verdoezeld in een door de rechters gecreëerd moeras van doublespeak en vaagspeak.

Hiermee leggen rechters zelf de bijl aan de wortel van de rechtsstaat.

Ja, een pasfoto bevat kenmerken die kunnen worden gebruikt om iemand uniek te identificeren. Onder de AVG zijn dat echter niet automatisch "biometrische gegevens" in de juridische betekenis van de bijzondere categorie persoonsgegevens.
De AVG definieert biometrische gegevens als persoonsgegevens die het resultaat zijn van een specifieke technische verwerking van fysieke kenmerken en die de unieke identificatie of authenticatie van een persoon mogelijk maken.
Een gewone opgeslagen pasfoto is daarom niet per definitie een biometrisch gegeven in de zin van artikel 9 AVG. Zodra die foto echter met gezichtsherkenningssoftware wordt geanalyseerd, omgezet in een template of gebruikt voor automatische identificatie/verificatie, kom je wel in het domein van biometrische verwerking.

Het bewaren van een kopie van een identiteitsbewijs bevat wel een foto en dus kenmerken waaruit biometrische informatie kan worden afgeleid, maar het enkele opslaan van die kopie wordt meestal niet gezien als verwerking van biometrische gegevens in de zin van artikel 9 AVG. Wel blijft het een verwerking van zeer gevoelige persoonsgegevens (BSN, documentnummer, nationaliteit, foto, etc.), waardoor strenge eisen gelden voor noodzaak, proportionaliteit en beveiliging.

Dan valt een pasfoto in JPG-formaat daar toch gewoon onder? Dat is een specifieke technische verwerking van fysieke kenmerken die de unieke identificatie of authenticatie van een persoon mogelijk maken.
Waarschijnlijk een typefout. Het zou moeten zijn:
"Een gewone opgeslagen pasfoto is daarom wel per definitie een biometrisch gegeven in de zin van artikel 9 AVG."
Of:
"Een gewone opgeslagen pasfoto is echter toch een biometrisch gegeven in de zin van artikel 9 AVG (vraag niet waarom)."
Kennelijk vindt iemand hier dat "verwerking van biometrische gegevens" (namelijk de gegevens op een pasfoto) in sommige gevallen toch niet "biometrische verwerking" is. Ra ra hoe kan dat?
Toch staat er in de definitie van "verwerking" in artikel 4 onder 2 AVG toch echt dat ook het "verzamelen" en "opslaan" van gegevens wordt beschouwd als "verwerking". Er staat nergens een uitzondering dat het verzamelen of opslaan van biometrische gegevens opeens toch geen verwerking van die gegevens zou zijn.
Het lijkt of men de inhoud van de AVG hier wat ongemakkelijk vindt en men daarom van de AVG wil afwijken, maar zonder het openlijk toe te geven.
Ach ja, de wet is toch maar de wet. Het belang van surveillance staat in Nederland boven de wet.

Ja wat? Oftewel op wat van bovenstaande tekst heeft "ja" betrekking?
Het gaat niet om een foto (of een video) want die zijn inderdaad géén biometrische gegevens volgens de AVG - een bepaling die er al vanaf het begin in zit, maar waar toen niemand van de bankrekeninghouders aandacht aan besteedde.
Het gaat om biometrische gegevens.
Waarbij vastgesteld moet worden òf en in welke vorm en waar precies (eigen device van de klant of een actief proces aan de kant van de bank) de ASN-bank daarvan gebruik maakt.
Wat bedoel je hiermee? Dat een gegevensbeschermingseffectbeoordeling (DPIA) niet door de bank gepubliceerd hoeft te worden en dus niet aan de bankrekeninghouders bekend hoeft te worden gemaakt?
Wel gebonden (zwaarwegend algemeen belang), maar niet beperkt tot.
Zie de (niet-limitatieve) lijst, die de AP in 2019 in de Staatscourant heeft gepubliceerd over wanneer een DPIA verplicht is, namelijk bij de verwerking van persoonsgegevens met een hoog risico.
Deze lijst is toen uitgebreid met biometrische gegevens, i.h.b. wanneer die gebruikt worden om een natuurlijk persoon uniek te identificeren.
Onder punt 17 Biometrische gegevens staat:
"Grootschalige verwerkingen en/of stelselmatige monitoring van biometrische gegevens met als doel een natuurlijk persoon te identificeren.
Op grond van de Algemene verordening gegevensbescherming is de verwerking van biometrische gegevens met als doel de unieke identificatie van een natuurlijk persoon, in beginsel verboden. In Nederland zijn aanvullende voorwaarden gesteld in artikel 29 van de Uitvoeringswet Algemene verordening gegevensbescherming. Enkel als de verwerking strikt noodzakelijk is voor authenticatie of beveiligingsdoeleinden, is de verwerking van biometrische gegevens toegestaan."

Mijns insziens wordt hiermee identiteitsverificatie door banken impliciet als een zwaarwegend algemeen belang behandeld, namelijk gelegitimeerd door het doel van de Wwft: bestrijding van witwasssen en het financieren van terrorisme.
Het is niet ondenkbaar dat het begrip "biometrische gegevens" nog verder ingeperkt gaat worden en gekoppeld gaat worden aan zeer specifieke technische bewerkingen van data (persoonsgegevens).

https://autoriteitpersoonsgegevens.nl/uploads/imported/stcrt-2019-64418.pdf (2019)

Onder de AVG is een foto niet automatisch een biometrisch gegeven. Pas wanneer de foto wordt verwerkt met specifieke technische middelen om iemand uniek te identificeren (bijvoorbeeld wél door gebruik te maken van geautomatiseerde gezichtsherkenning, maar niet door het alleen opslaan ervan), wordt zij een biometrisch gegeven in de zin van artikel 9 AVG.

Daar kun je het mee eens zijn of niet, maar nog een miljoen artikelen hier gaat dat niet veranderen.
Al helemaal niet nu dit standpunt is bevestigd door de Hoge Raad.

De uitleg is dat artikel 9 niet al wordt geactiveerd doordat een foto biometrische kenmerken bevat of zou kunnen opleveren. Er moet ook sprake zijn van verwerking van die kenmerken voor identificatiedoeleinden. Anders zou vrijwel elke pasfoto, beveiligingscamera-opname of (groeps)foto op social media automatisch onder het strengere regime van artikel 9 vallen.

Hyper vergeten:
https://autoriteitpersoonsgegevens.nl/uploads/imported/stcrt-2019-64418.pdf

Anoniem 09-06-2026, 20:10

"Onder de AVG" bevat een foto van een gezicht wel biometrische gegevens. Zie de letterlijke tekst van overweging 51 AVG. Dat is in deze draad al eerder uitgelegd.

Alleen weigert de Hoge Raad dat te erkennen. Dus "onder de Hoge Raad" bevat een gezichtsfoto opeens geen biometrische gegevens meer. Een rechter kan wel verklaren dat een spijker geen spijker is. Hij kan dan ook nog eens beweren dat een spijker "onder (/volgens) de AVG" geen spijker is, of dat "het verzamelen en opslaan van spijkers" onder de AVG toch niet moet worden opgevat als "het verwerken van spijkers", ook al zeg de definitie in de AVG (artikel 4 onder 2 AVG) het omgekeerde. Maar ondertussen is het gewoon wel een spijker. En is het ook een verwerking van spijkers.

Het gelieg en gedraai van rechters, daar kunnen ze wel mee doorgaan zolang ze de macht hebben. Of beschermd worden door de macht. Zo gaat dat in een heleboel ondemocratische landen.

Dat hangt ervan af. Er zijn in de loop van de tijd een heleboel ondemocratische regeringen ten val gekomen of hervormingen tot stand gekomen dankzij de verspreiding van het vrije woord. Dat gaat niet van de ene op de andere dag. Echter, zolang er mensen zijn die de waarheid durven te blijven benoemen, is er hoop. Dat jij niet tot die mensen behoort, is duidelijk.

Het gaat om een bereidheid om je waarneming en je denken niet stil te zetten zodra een minister, een CEO of de Hoge Raad iets heeft gezegd. Je mag echt wel doorgaan met waarnemen en denken, hoor! Dat is misschien onofficieel wel verboden, maar officieel is het niet verboden. Het is de enige manier om de hoop op een terugkeer naar democratie en rechtsstaat levend te houden.

Nee, ook de AVG zélf vind dat:

De middelen voor en de wijze van verwerken. Het gaat bij biometrische gegevens om persoonsgegevens die het resultaat zijn van ‘een specifieke technische verwerking’. Dat betekent dat gegevens met technische middelen worden geanalyseerd en vervolgens worden vergeleken met een bepaalde referentie. Of gegevens volgens de AVG biometrisch zijn, ligt er dus aan hoe deze worden gebruikt. Het plaatsen van een foto van iemand in een krant is bijvoorbeeld géén specifieke technische verwerking. Er vindt daarbij immers geen analyse en vergelijking plaats. Er is wél sprake van een specifieke technische verwerking wanneer de kenmerken van het vastgelegde gezicht naar een template worden omgezet. Zo’n template is uniek en specifiek voor 1 persoon. De gezichtsherkenning gebeurt door de template te vergelijken met andere templates. Lees ook: De techniek achter gezichtsherkenning.

https://www.autoriteitpersoonsgegevens.nl/themas/identificatie/biometrie/regels-voor-gebruik-biometrie#wanneer-is-iets-een-biometrisch-gegeven

Een foto wordt pas een biometrisch gegevens als: er wél sprake is van een specifieke technische verwerking waarmee de kenmerken van het vastgelegde gezicht naar een template worden omgezet. Zo’n template is uniek en specifiek voor 1 persoon. De gezichtsherkenning gebeurt door de template te vergelijken met andere templates. Lees ook: De techniek achter gezichtsherkenning.

De Hoge Raad heeft bevestigd wat er altijd in de AVG heeft gestaan. Zolang een foto niet word verwerkt volgens de hierboven genoemde 'als' is het geen biometrisch gegeven. Daar is de Hoge Raad niet door de "machthebbers" toe gedwongen, hij heeft simpelweg een vraag beantwoord adv een juridisch proefballonnetje door een privacyactivist. Dus nu is dit punt tot en met de Hoge Raad uitgelopen, met dank aan het vrije woord.

Nee dat is niet "uitgelegd", dat was gewoon een mening.

Overweging 51 zegt namelijk niet dat elke foto van een gezicht biometrische gegevens is. Integendeel, de tekst luidt:
"De verwerking van foto’s mag niet systematisch worden beschouwd als verwerking van bijzondere categorieën van persoonsgegevens, aangezien foto’s alleen onder de definitie van biometrische gegevens vallen wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken."

https://gdpr-text.com/nl/read/recital-51/

Klanten die je al jaren kent zo behandelen, je moet maar durven. ASN was altijd een bank die stond voor mensenrechten en andere nobele waarden. Het is geen ethische bank meer.

Er zijn maar heel weinig bedrijven die ethisch werken.
Onze economie is gebaseerd op het afschaffen van alle ethiek.
Ik heb precies hetzelfde zien gebeuren bij ethisch werkende bedrijven in de voedingssector (natuurvoedingswinkels): het management is inmiddels identiek aan dat van AH.
De ethiek verdwijnt uit de mens omdat je als mens steeds minder geld kunt verdienen door ethiek toe te laten in je leven.
En de meeste mensen willen zoveel mogelijk geld hebben.
De ASN is dus een soort kanarie in de kolenmijn.

Alsof dit het grootste probleem is met ASN. Ik ben na jaren weer terug en kreeg deze keer geen zakje met nootjes meer in mijn welkomstpakket.

-- De woorden in de AVG in relatie tot de werkelijkheid --
De AVG "vindt" natuurlijk niet "zelf" iets. De AVG is een tekst. Je bedoelt waarschijnlijk dat de wetgever die de AVG heeft opgesteld, iets vindt en dat in de tekst van de AVG heeft proberen vast te leggen. Maar die wetgever bestond in de praktijk uit talloze ambtenaren en lobbyïsten, plus EU-politici (commissieleden en EU-parlementariërs) met wie die ambtenaren en lobbyïsten van gedachten wisselden. Dat is een amorfe groep. We kunnen nu dus alleen op de tekst van de AVG (inclusief de "overwegingen" daarin) afgaan.

Daarnaast is er de uitleg die rechters aan die tekst geven. Het traditionele idee is dat rechters uitleggen wat er in een wetstekst wordt bedoeld. Maar in bepaalde gevallen kunnen rechters onredelijk worden. Bijvoorbeeld als ze het gooien van een sinaasappel naar een politieagent tijdens een demonstratie betitelen als een "terroristische daad". Of als ze, zoals de Hoge Raad nu heeft gedaan, het verwerken van biometrische gegevens betitelen als "geen biometrische verwerking" o.i.d. In zulke situaties moeten burgers die de rechtsstaat willen redden, zelf actie ondernemen door te benoemen dat de rechters met hun uitspraken te ver zijn afgedwaald van de werkelijkheid, waardoor woorden hun betekenis dreigen te verliezen omdat ze geen serieuze relatie meer hebben met feiten en feitelijke daden.

Dit laatste - het ontbreken van overeenstemming tussen enerzijds woorden en anderzijds de feiten en daden die ze volgens machthebbers (inclusief rechters van hoge rechtscolleges) beschrijven - is in Westerse, zogeheten "democratische rechtsstaten" momenteel grootschalig aan de hand.

Dit is absoluut geen nieuw probleem. In het oude China wees de filosoof Confucius zo'n 2500 jaar geleden al op het belang van een "rectification of names" (het corrigeren van de termen). Uit Wikipedia:
In zijn roman "1984" wees George Orwell op hetzelfde. Het risico van Orwelliaanse rechtspraak is absoluut niet nieuw.

-- De tekst van de AVG m.b.t. de definitie van "biometrische gegevens" --
Jij beweert dat "de AVG zelf vindt" dat de verwerking van biometrische gegevens zoals die op pasfoto's zijn vastgelegd, toch geen verwerking van biometrische gegevens is. Je verwijst dan naar de formulering: "het resultaat [zijn] van een specifieke technische verwerking" in de tekst van artikel 4 onder 14 AVG (de definitie van "biometrische gegevens"). In overweging 51 van de AVG wordt dit nader uitgelegd. Daar staat: "...wanneer [de gegevens op foto's] worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken". Dat is een vertaling van de engelstalige versie: "...when processed through a specific technical means allowing the unique identification or authentication of a natural person."

Dit is dus de tekst waar we het over hebben. Het vastleggen van biometrische gegevens (de metrische verhoudingen van het gezicht van een specifieke natuurlijke persoon op een pasfoto, bijvoorbeeld in JPEG-formaat) is het resultaat van een "specifieke technische verwerking". Als de AVG "zelf" iets "vindt", dan is dit het. Dat blijkt uit de wetstekst. Toch "vindt" de AVG volgens jou, en kennelijk ook volgens de Hoge Raad, iets anders dan wat de tekst van de AVG zegt.

Ik heb het vermogen van mensen om evidente onwaarheden toch voor waar aan te nemen, ook als de waarheid recht voor hun neus staat, altijd mysterieus, fascinerend en beangstigend gevonden. Of het nu om de verkrachting van een persoon gaat ("Ze wilde het zelf, ze vond het lekker") of om de verkrachting van een tekst ("De tekst vond zelf dat het er stond").

-- Spijkers op laag water --
Om niet in herhaling te vervallen, zal ik de onzinnigheid van jouw interpretatie van de AVG, die kennelijk tevens de interpretatie van de Hoge Raad is, opnieuw illustreren aan de hand van het eerdere denkvoorbeeld van die spijkers (omdat het concrete voorbeeld van "spijkers" duidelijk maakt waarom het onzinnig is om definities los te koppelen van de werkelijkheid die ze zouden moeten beschrijven).

Stel de AVG zegt over spijkers dat het alleen spijkers zijn als ze "het resultaat zijn van een specifieke technische verwerking" die met behulp van "specifieke technische middelen" heeft plaatsgevonden.

In de praktijk geldt dat dan voor alle spijkers, want spijkers groeien in de natuur nu eenmaal niet aan de bomen. Spijkers worden door mensen gemaakt. Zo is het ook met de biometrische gegevens die ontstaan doordat er een pasfoto wordt gemaakt en vastgelegd - op papier of in een digitaal bestand.

Als ik je goed begrijp, bestrijd jij niet dat spijkers en biometrische gegevens allebei het resultaat zijn van de aanwending van technische middelen. Waar jij en de Hoge Raad jezelf echter aan vastklampen, is het woordje "specifiek" in de AVG. Zijn de middelen waarmee spijkers en biometrische gegevens worden gerealiseerd, niet alleen "technisch", maar ook "specifiek"?

Natuurlijk zijn ze dat. Zodra een middel expliciet en voldoende nauwkeurig als zodanig wordt benoemd, is het "specifiek". In het geval van spijkers kunnen de specifieke technische middelen bijvoorbeeld een smidshamer, een vuur en een aambeeld zijn. Of een productielijn in een spijkerfabriek. Desgewenst kan dit voor elk concreet geval nader worden gespecificeerd. In elk concreet geval kun je de gebruikte middelen specifiek benoemen.

In het geval van biometrische gegevens kunnen de specifieke technische middelen bijvoorbeeld zijn: een camera, een geheugenkaart in die camera, een USB-kabel of een geheugenkaartpoort, een harde schijf in een computer en een app.

Het lijkt echter of jij en de Hoge Raad aan het woord "specifiek" een andere, oneigenlijke betekenis willen geven, namelijk de betekenis "doelgericht", "voor bepaalde doelen" of "voor sommige specifieke doelen". Dan ga je dus beweren dat het doel waarvoor spijkers worden gebruikt, of waarvoor biometrische gegevens worden gebruikt, bepaalt of het eigenlijk wel spijkers of biometrische gegevens zijn.

Dat is een onzinnige opvatting, die bovendien zeer schadelijk is voor de rechtsstaat en voor het vertrouwen in de rechtsstaat.

-- "Specifiek" betekent niet hetzelfde als "gericht op sommige specifieke doelen" --
Stel dat er tijdens een inbraak in een woonhuis een moord op de bewoner is gepleegd met een pistool, en de advocaat van de verdachte zegt: "Het moordwapen is niet gevonden, want het pistool is geen moordwapen, omdat het niet de bedoeling(!) van de verdachte was om het slachtoffer dood te schieten. Het was alleen de bedoeling om een waarschuwingsschot te lossen. Aangezien het pistool derhalve geen moordwapen is, is er in deze zaak dus geen moordwapen gevonden. Daaruit moet worden geconcludeerd dat er geen bewijs is dat deze moord is gepleegd. Op die grond verzoek ik om vrijspraak voor mijn cliënt waar het gaat om de aanklacht van moord."

Die advocaat zou uit de rechtszaal worden weggelachen.

Maar als het om biometrische gegevens gaat, doen jij en de Hoge Raad opeens alsof een dergelijke redenering wel opgaat. De bedoeling van een gebruiker van een biometrisch gegeven zou bepalen of het eigenlijk wel een biometrisch gegeven is. Jullie doen alsof die keizer (die advocaat) dan opeens wel kleren aan heeft, terwijl ieder jongetje kan zien, net als in het sprookje van H.C. Andersen, dat die keizer eigenlijk gewoon in zijn blootje staat. En dan beweer jij ook nog dat de AVG dat "zelf vindt". Het is duidelijk dat jij aan een soort zelfhypnose doet waarmee je bij jezelf een soort juridisch delirium oproept. En je bent niet de enige. Hele juridische volksstammen rennen gehypnotiseerd achter het toverstokje van de Hoge Raad aan.

Om weer terug te komen op het denkvoorbeeld van die spijkers, jouw redenering (en kennelijk die van de Hoge Raad) komt erop neer dat spijkers die niet, of althans niet bewijsbaar worden gebruikt voor het doel van het in elkaar timmeren van sommige(!) "specifieke" objecten (bijv. een leunstoel of een hondenhok), opeens geen spijkers meer zouden zijn. Dit meen je te kunnen afleiden uit het feit dat de tekst van de wet in het denkvoorbeeld een "specifieke verwerking" of het gebruik van een "specifiek technisch middel" vereist bij de productie en de opslag van spijkers.

Het kwalijke van dergelijke drogredeneringen is dat met behulp daarvan de kenbaarheid van het recht wordt afgeschaft. Als het woord "spijker" of het woord "biometrisch gegeven" geen zelfstandige betekenis meer heeft, omdat de betekenis ervan afhankelijk wordt gemaakt van "doelen" die beweerdelijk met deze entiteiten worden nagestreefd, dan wordt het onmogelijk gemaak om objectief te toetsen of bepaalde handelingen (bijv. gegevensverwerkingen) nog vallen onder een wetsartikel dat ogenschijnlijk betrekking heeft op de betreffende entiteiten ("spijkers" of "biometrische gegevens"). De rechter neemt dan de ruimte om op een zeer subjectieve, willekeurige wijze te gaan inschatten wat de "bedoelingen" van de gegevensverwerker zouden kunnen zijn of zijn geweest, en dan dáárop te gaan baseren of het betreffende wetsartikel überhaupt de betreffende persoonsgegevens beschermt.

-- Van te voren ingecalculeerde function creep --
Dit is een recept voor van te voren ingecalculeerde, d.w.z. van te voren ontkende maar wel degelijk bedoelde function creep. Een verwerkingsverantwoordelijke kan dan namelijk zeggen: "Toen ik de biometrische gegevens verzamelde in de vorm van pasfoto's, was het nog niet mijn bedoeling die te gebruiken voor heridentificatie van klanten die al dertig jaar bij de ASN-bank zijn, dus toen waren het nog geen biometrische gegevens. Daarom vielen die gegevens toen nog niet onder de bescherming van artikel 9 AVG. Tja... nu, drie dagen later, heb ik een nieuw doel bedacht, en omdat ik die biometrische gegevens nu heel makkelijk kan transporteren van de pasfoto's die ik heb opgeslagen, naar mijn digitale datasysteem waarmee ik de heridentificatie uitvoer, is mijn belang om die gegevens te gebruiken groter dan het belang van de klant dat ik die gegevens daar niet voor gebruik. Immers, het gebruik van die gegevens vergt geen nieuwe verzameling van die data. Want ik heb die data immers al, alleen waren het eerst geen biometrische data, en nu wel..."

Als de rechter de "bedoeling" van de verwerkingsverantwoordelijke op het moment van het opeisen van de feitelijke biometrische gegevens (zoals voorhanden op de pasfoto's) enigszins onschuldig vindt, dan hoeft de rechter volgens deze redenering niet langer te zeggen: "Verwerkingsverantwoordelijke, voldoe aan het vereiste van artikel 5.2 AVG om aan te tonen dat de gegevensverwerking strikt noodzakelijk is voor dat doel, zoals vereist in artikel 9 AVG." Nee, de rechter kan nu losjes zeggen: "Er is vooralsnog geen sprake van biometrische gegevensverwerking, dus lieve verwerkingsverantwoordelijke, u hoeft vooralsnog ook niet aan te tonen dat die gegevensverwerking strikt nodig is. Als uw bedoelingen goed zijn, dan hoeft u de strikte noodzaak van de gegevensverwerking (zoals bedoeld in artikel 9 AVG) niet aan te tonen."

Met deze interpretatie helpt de rechter de verwerkingsverantwoordelijke dus om artikel 9 AVG te ontduiken.

Op die manier maakt de rechter een lachertje van de rechtsbescherming op het gebied van de verwerking van biometrische persoonsgegevens. Die rechtsbescherming wordt dan in feite opgeheven. Er blijft dan alleen nog subjectieve
"rechters-bescherming" over, dat wil zeggen dat rechters willekeurige gunsten kunnen verlenen of onthouden aan natuurlijke personen die worden belaagd door banken of andere verwerkingsverantwoordelijken, door een beetje met de betekenis van woorden in wetsteksten te gaan schuiven en spelen.

Als het er bij de "rechtspraak" zo aan toegaat, leven we natuurlijk niet meer in een rechtsstaat.

M.J.

Eh nee.

De zorg die jij formuleert is dat een verwerkingsverantwoordelijke zou kunnen zeggen:

1. Bij verzameling had ik geen identificatiedoel.
2. Daarom waren het toen geen biometrische gegevens in de zin van artikel 9 AVG.
3. Later besluit ik alsnog tot identificatie.
4. Dan gebruik ik bestaande foto's of templates voor een nieuw doel.

Volgens jouw redenering ontstaat dan een gat in de bescherming, omdat de zware waarborgen van artikel 9 pas zouden gaan gelden nadat de gegevens al zijn verzameld.

Als gewoon de AVG systematisch uitlegt zie je dat:

- het latere gebruik voor biometrische identificatie zelf een verwerking is die afzonderlijk aan de AVG moet worden getoetst;
- doelbinding uit artikel 5 AVG niet verdwijnt doordat de gegevens al eerder zijn verzameld;
- de verantwoordelijke moet kunnen aantonen dat het nieuwe doel verenigbaar is met het oorspronkelijke doel of over een nieuwe rechtsgrond beschikt;
- zodra daadwerkelijk biometrische identificatie plaatsvindt, de eisen van artikel 9 AVG alsnog van toepassing kunnen worden.

Met andere woorden: zelfs als de oorspronkelijke pasfoto niet als biometrisch gegeven in de zin van artikel 9 werd behandeld, volgt daar niet automatisch uit dat de latere omzetting naar een biometrisch identificatiesysteem wél zonder de waarborgen van artikel 9 zou mogen plaatsvinden.

Nee want vanuit alleen een USB kabel kan van een foto geen biometrische kenmerken worden afgeleid.


Dat is precies wat het zegt.


Ook al niet.

Als een nieuwe verwerking onder artikel 9 valt, moet daarvoor niet alleen een grondslag uit artikel 6 bestaan, maar ook een uitzondering uit artikel 9 lid 2.

Je brengt twee punten naar voren.

Wat betreft het eerste punt het volgende. Het gaat mij natuurlijk om de bescherming die de natuurlijke persoon (de betrokkene) krijgt op het moment dat de bank eist dat de klant een pasfoto of selfie laat inscannen door de bank. Want dat is het moment dat de feitelijke(!) biometrische persoonsgegevens in het bezit van de bank komen, waarbij de betrokkene zijn controle daarover in de praktijk verliest. Daarom is het van belang of artikel 9 AVG door de rechter van toepassing wordt geacht op het moment dat de pasfoto voor het eerst door de bank wordt opgeëist.

Met betrekking tot jouw tweede punt het volgende. Het klopt dat, als de bank (de verwerkingsverantwoordelijke) op een later(!) tijdstip alsnog overgaat tot een verwerking die ook volgens de Hoge Raad onder artikel 9 AVG valt, dit volgens de tekst van de AVG zo zou moeten als jij beschrijft, dus met een nieuwe toetsing, waarbij alsnog de strikte noodzaak zoals bedoeld in artikel 9 AVG wordt getoetst.

Maar punt is nu juist dat rechters in de praktijk dan subjectieve "belangenafwegingen" maken. Het feit dat de pasfoto's reeds eerder verzameld zijn (zonder toepassing van artikel 9 AVG), zal in de praktijk wel degelijk invloed hebben op de belangenafweging van de rechter, via diens opvattingen over de "proportionaliteit" van de nieuwe gegevensverwerking (mèt toepassing van artikel 9 AVG).

Ik bekijk de zaak dus ook op dit tweede punt nadrukkelijk vanuit de reële wereld, en niet louter en alleen vanuit de papieren tekst van de AVG. Waar ik voor pleit, is om bij de interpretatie van de tekst van de AVG een realistische verbinding te leggen met hoe het toegaat in de werkelijke wereld - die dus niet hetzelfde is als een juridische utopie.

M.J.

Nee. Een pasfoto is op zichzelf geen biometrisch gegeven. Pas nadat een pasfoto door een specifieke technische verwerking (gezichtsherkenning) is gegaan waarmee de kenmerken van het vastgelegde gezicht naar een bestand worden omgezet, ontstaan er biometrische gegevens van die foto. Dat bestand valt dan onder biometrische gegevens, en ook dan nog steeds niet de pasfoto (bron) zelf.

De kopie ID bewijzen met foto zijn bedoelt voor een proces gezichtsherkenning, maar voor identificatie. Hierdoor vallen deze kopien ID niet onder biometrische gegevens maar onder bijzondere persoonsgegevens.

Als de banken over 8 jaar zeggen "he we hebben die gegevens tóch" ontstaat er de nieuwe verwerking onder artikel 9 valt, en moet daarvoor niet alleen een grondslag uit artikel 6 bestaan, maar ook een uitzondering uit artikel 9 lid 2.

Dat jij (en andere privacy activisten) roepen "vroeg of laat gebeurd dat toch dus laten we het voor zijn" is een subjectieve mening, die ook de toets van wetgeving niet doorstaat.

Typo:

De kopie ID bewijzen met foto zijn niet bedoelt voor een proces gezichtsherkenning, maar voor identificatie. Hierdoor vallen deze kopien ID niet onder biometrische gegevens maar onder bijzondere persoonsgegevens.

En iedereen weet dat dit vroeg of laat gaat gebeuren. Heb vooral boter op je hoofd en blijf vertrouwen op de goede intenties van commerciele instellingen (wilde de ING jaren terug niet aankoopgedrag van klanten gaan vermarkten?).

Privacy statements veranderen onder je handen (doelbinding bijvoorbeeld bij GGD in de corona tijd om de data te kunnen gebruiken voor de corona toegangspas) zonder dat je daar van te voren mee kan of moet instemmen. Je krijgt er in veel gevallen zelfs geen bericht van dat dit gaat veranderen (de overheid is daar met name erg slecht in). Wat dat betreft stelt de AVG er weinig voor: het is veel te makkelijk om meer/minder data voor andere doeleinden te gaan gebruiken zonder dat degenen die de data daar hebben liggen ermee hebben ingestemd. Je kunt het beter verhinderen (door de data er sowieso niet te hebben liggen) dan achteraf (als het kwaad al is geschied) te proberen eea weer recht te breien.

Dat was een proef in 2014, 4 jaar vóór de AVG. Dus toen mochten ze daar nog over nadenken.

Veel mensen denken dat persoonsgegevens alleen gebruikt mogen worden als zij daarvoor toestemming geven. Dat klopt niet.
Wanneer de verwerking noodzakelijk is voor een wettelijke taak van een overheidsorgaan, is toestemming vaak juist niet de aangewezen grondslag. Daarom volgt uit het ontbreken van een toestemmingsvraag niet automatisch dat er sprake is van een AVG-schending.

Je negeert alles wat hierboven gezegd is over het onderscheid tussen enerzijds feitelijke biometrische gegevens en anderzijds gegevens die door de Hoge Raad als biometrische gegevens worden beschouwd. De Hoge Raad is de (of een) arbiter voor wat er in Nederland juridisch(!) als biometrisch gegeven wordt beschouwd, dat heb ik niemand hier horen betwisten. Maar als de juridische "realiteit" te veel gaat afwijken van de feitelijke realiteit, dan functioneert de rechtsstaat niet meer.

De Hoge Raad en jij kunnen wel roepen dat de verzameling van gezichtskenmerken op een pasfoto geen biometrisch gegeven "is", maar dat is vergelijkbaar met een rechter die op basis van een ambtsbericht van een consulaat of ambassade tegen een homoseksuele vluchteling uit Afghanistan onder het Talibaanbewind of een ander land waar homoseksuele mensen in de praktijk groot risico lopen, zegt dat het betreffende land geen onveilig land "is". Dan denkt zo'n vluchteling: misschien "is" het volgens de juridische ideeën van de Nederlandse autoriteiten geen onveilig land, maar feitelijk "is" het voor mij wel degelijk een onveilig land.

Hoe verder de juridische ficties van de Hoge Raad verwijderd raken van de feitelijke werkelijkheid, hoe meer afbreuk dat doet aan de geloofwaardigheid en legitimiteit van het rechtsstelsel waarvan de Hoge Raad één van de boegbeelden is.

M.J.

Het betreft hier de kwestie hoe de bewaarplicht als zodanig van de bank eruitziet, dus de vraag of de bank een kopie van het ID-bewijs mèt foto überhaupt mag bewaren.

https://www.dutchitchannel.nl/news/727555/hoge-raad-stelt-vragen-bij-selfie-verplichting-banken
Temeer daar een pasfoto ook persoonsgegevens van ras en etnische afkomst bevat (bijzondere persoonsgegevens), wat betekent dat deze bijzondere persoonsgegevens een eigen verantwoording vanuit de AVG nodig hebben.
Zie:

https://linkeddata.overheid.nl/front/portal/document-viewer?ext-id=ECLI:NL:HR:2026:392 (na 3.6.1. begint het).
Afgezet tegen het beginsel van minimale gegevensverwerking van de AVG.
"De Hoge Raad vraagt zich af welk algemeen belang precies gediend wordt met het bewaren van een pasfoto voor de opsporing van witwassen." (Dutch IT Channel)

De vragen die nog door het Europese Hof van Justitie beantwoord moeten worden staan samengevat onder:
5 Vragen van uitleg (nog verder naar beneden).

Het Europese Hof van Justitie kan voor het beantwoorden van deze vragen één tot twee jaar de tijd nemen.

En dat is precies wat er steeds gebeurt en er overal sprake is van function creep en waarom de AVG een wassen neus (doekje voor het bloeden) is.
Initieel wordt de data voor een bepaald doel bewaard. Dan wordt er slinks een wetje ingekruid en is het ineens nodig om de data ook voor dat nieuwe doeleind te gebruiken. Vgl ANPR. Dit gaan we ook krijgen met het centraal opslaan van de pasfoto's van ID bewijzen (met een drogreden erin gefietst), gaan we ook krigen met toegang door de NS(!) BOAs tot het rijbewijsrregitster (even in de camera kijken dan zoek ik het bijbehorende tijbewijs record op), etc, etc, etc

Het beeld dat nu geldt gold al voordat de techniek voortschreed, omdat ruim voor de invoering van de AVG de techniek al zo ver was dat namen bij gezichten op een groepsfoto verschenen terwijl de fotograaf zelf nog aan het kijken was of iedereen er goed op stond. Het is best mogelijk dat men nu niet 93% van de gezichten zo direct en goed herkent maar dat dat nu hoger zit, maar het was toen al ruimschoots hoog genoeg om niet te kunnen redeneren alsof er iets noemenswaardig is veranderd op dat punt sinds de invoering van de AVG, men kan maar maximaal 7 procentpunten hoger uitkomen dan men al zat.

Een gezichtsafbeelding legt kenmerken vast die voor biometrie kunnen worden gebruikt, biometrische gegevens. Artikel 9 van de AVG geeft aan dat biometrische gegevens met het oog op unieke identificatie van een persoon niet verwerkt mogen worden. Overweging 51 geeft echter aan dat de verwerking van foto's desondanks niet systematisch mag worden beschouwd als de verwerking van bijzondere persoonsgegevens, maar alleen als ze worden verwerkt met technische middelen die unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken.

Als je elke verwerking daartoe rekent, inclusief opslag, dan is die opmerking in overweging 51 volstrekt zinloos, er blijft dan niets over waar die nog betrekking op kan hebben. En dat komt niet door voortschrijdende techniek, want men zat al op een indrukwekkende 93% herkenning.

Pas nou eens heel basale logica toe. Men zet geen dingen in een wet (inclusief die overwegingen) om totaal geen effect te hebben, men zet dingen erin om juist wel degelijk effect te hebben, en men gaat niet over een nacht ijs bij het opstellen ervan. Een interpretatie die zo'n effect volledig wegpoetst kan dan domweg niet kloppen met hoe men het bedoeld had. Dan moet er in jouw interpretatie iets afwijken van wat de wetgever ermee bedoelt. En nogmaals: voortschrijdende techniek verandert daar in dit geval niets aan omdat de techniek al op 93% van het maximaal haalbare zat toen de wet werd geschreven, argumenten daarover die nu gelden golden toen ook al.

Daarmee zeg ik helemaal niet dat je het maar eens moet zijn met wat er in die wet staat. Je hebt het volste recht om er anders over te denken en om na te streven dat er iets aan verandert. Je verspilt alleen een hoop energie als je iets anders gaat bestrijden dan er feitelijk aan de hand is. Dit ligt niet aan hoe rechters de AVG toepassen maar aan de AVG zelf. Dat betekent dat er wetgeving veranderd moet worden, wil je daar iets aan bijstellen. Daarvoor moet je je pijlen niet op rechters richten maar op de politiek. De hoofdkraan lekt, niet de keukenkraan.

Nee, in dit geval snappen die het beter dan jij doet.

Die 'function creep' ontstaat niet allen vanuit de overheid. Hij ontstaat ook doordat burgers privacy verwarren met anonimiteit, en er is geen absoluut recht op anonimiteit.

Voor wat betreft die boa's en hun toegang tot het rijbvewijsregister, er is al wetgeving dat burgers zich moeten kunnen legitimeren als hen daarom gevraagd word. Het meerendeel heeft dat ding natuurlijk nooit op zak, en om nu te voorkomen dat half Nederland met een boete naar huis gestuurd word is er nu deze oplossing bedacht. Dan kun je vanuit de negatieve gedachtespiraal natuurlijk spreken van een functioncreep, maar als wij nu gewoon dat ding op zak hebben is deze hele functie nooit van toepassing.

En nogmaals, er is geen absoluut recht op anonimiteit. Daar is de AVG ook nooit voor bedoelt, en dat recht is er sowieso nooit geweest.

Ik redeneer ook helemaal niet alsof er op dat punt iets noemenswaardigs is veranderd sinds de invoering van de AVG. Dat bedenk jij helemaal zelf, dat ik zo zou redeneren.

Het is mogelijk dat er iets noemenswaardigs is veranderd, maar het hoeft niet. Het is niet relevant voor mijn argumentatie.

Nee hoor. Overweging 51 kan nog steeds ergens betrekking op hebben. Overweging 51 vereist, als je de tekst goed leest, dat niet uit het blote feit dat iets een foto is, al geconcludeerd mag worden dat het dus biometrische persoonsgegevens zou bevatten. Er moet per concreet geval gekeken worden of zo'n foto wel of niet biometrische gegevens bevat. Je mag dus niet "systematisch", puur op grond van het feit dat het om de technische systeemcategorie "foto" of "foto van een persoon" gaat, aannemen dat die biometrische gegevens bevat. Misschien staat een persoon wel zo klein of grofpixelig op die foto, dat die niet identificeerbaar is. Dan houdt de verwerking van zo'n foto geen verwerking van biometrische gegevens in.

Ik heb dit al eerder in deze draad besproken (zie boven). Ik heb toen al gezegd dat een foto van een wolkenlucht geen biometrische gegevens hoeft te bevatten. Maar een pasfoto bevat zulke gegevens wel. Gewoon feitelijk, niet op grond van een "systematische" reden. Die feitelijkheid is een gevolg van het doel waarmee een pasfoto is genomen. Oorspronkelijk werd een pasfoto bedoeld om zichtcontrole mogelijk te maken, met het blote mensenoog. Dan is de aanwezigheid van die biometrische gegevens op de foto veel minder een probleem. De aanwezigheid van biometrische gegevens op die pasfoto is op zichzelf ook nu niet(!) het probleem in deze zaak. De verwerking van die gegevens is hier het probleem.

Ik had het niet alleen over voortschrijdende techniek na invoering van de AVG, maar over alle voortschrijdende techniek, ook al voorafgaand daaraan. Probeer nu eens mijn teksten correct te lezen en niet allerlei onjuiste aannames te doen.

Dit zou je tegen jezelf moeten zeggen. Want jij hebt daar moeite mee, niet ik.

In mijn ogen ligt het aan allebei - dus zowel aan de wet als aan de wetsinterpretatie door rechters. In dit geval richtte ik mijn aandacht op de uitspraak van de Hoge Raad, dus op hoe rechters in dit geval de AVG interpreteren.

Ik richt mijn pijlen op allebei. Dit temeer omdat Nederlandse rechters in hun interpretaties van wetten vaak erg gevoelig zijn voor politieke wensen. Die hebben invloed op hoe ze hun (werkelijke of vermeende) interpretatieruimte gebruiken. De machtenscheiding functioneert in de praktijk in Nederland vaak niet goed.

In mijn ogen lekken zowel de hoofdkraan als de keukenkraan. In dit geval kwam (de monteur van) de keukenkraan (de Hoge Raad) ter sprake, dus heb ik daar iets over gezegd.

Het lekken van de hoofdkraan is buitengewoon moeilijk beïnvloedbaar voor een willekeurige, nogal machteloze burger zoals ik. Door over de monteur van de keukenkraan (de Hoge Raad) iets te zeggen, ontstaat er heel misschien een dynamiek waardoor die monteur aan zijn informele, niet-officiële baas (de politiek) een signaal gaat geven dat het wel erg genant aan het worden is dat hij telkens de keukenkraan niet adequaat mag repareren, omdat de baas niet wil dat het voor de klant (de burgers) duidelijk wordt hoe ernstig de hoofdkraan lekt.

Dat kun jij vinden. Maar je hebt er tot nu toe geen goede argumenten voor aangevoerd.

dus het bedrijf waar je al je geld hebt staan, waar de zwaarste veiligheidsregulaties en -eisen voor gelden, waar toezichthouder boven toezichthouder zit om te zorgen dat het hele systeem zo veilig als menselijk/mogelijk is, dat bedrijf vertrouw je prima met je financiën, leningen, verzekeringen en betalingen, maar je hebt er geen vertrouwen in dat ze de communicatie met de encryptie-chip van je telefoon genoeg beveiligen? of heb je geen leuke foto's van jezelf voor mevrouw de bankier?

Je snapt het nog steeds niet, of je wilt het niet begrijpen of je bent het er niet mee eens.

Een foto zelf (zelfs van een gezicht), dus puur de JPEG, valt niet onder een biometrisch gegeven, maar onder een bijzonder persoonsgegeven (omdat je daar bijvoorbeeld etniciteit aan kunt afleiden).

Biometrische gegevens ontstaan pas als je de foto door iets als gezichtsherkenning haalt, want pas dan ontstaat er een aparte (nieuwe) set met gegevens, en alleen die gegevens zijn gekwalificeerd als biometrische gegevens (en zelfs daarna nog steeds niet de JPEG van de pasfoto zelf).

Er is een groep mensen die vinden dat ze door de heridentificatie als "verdachte" worden behandeld, en er is een groep activisten die dit als haakje proberen te gebruiken om cameratoezicht aan te pakken.

Dat is de interpretatie die de Hoge Raad (volgens jou, en ik geloof je op dat punt) eraan geeft, en met die interpretatie ben ik het inderdaad niet eens. Ik ben het er niet mee eens omdat die interpretatie gespeend is van realiteitszin, gezien de huidige technische mogelijkheden om de biometrische gegevens binnen een milliseconde uit een JPEG-afbeelding te extraheren en dan te gebruiken voor gezichtsherkenning.

Jij maakt een onderscheid tussen "gezichtskenmerken" (op een pasfoto of JPEG-afbeelding) en "biometrische gegevens". Dat is in de praktijk een onzinnig onderscheid. Het doet denken aan het onderscheid dat in 2013 werd gemaakt toen werd ontdekt dat de Amerikaanse overheid gelogen had door te zeggen dat er niet massaal data werd "verzameld" ("collected"). Vervolgens probeerde die overheid (de NSA) te ontkennen dat er gelogen was door te beweren dat die data niet was "verzameld" ("collected"), maar alleen was "vergaard" ("gathered"). Dat zou dan een zogenaamd voorstadium zijn, namelijk het "vergaren" van onbewerkte data, terwijl "verzamelen" zou betekenen dat die data al zou zijn omgezet in een bepaald formaat.

Dit is in essentie dezelfde truc die de Hoge Raad nu (aangespoord door massasurveillance-voorstanders) toepast bij het maken van een onderscheid tussen "biometrische gegevens" die zogenaamd niet zouden worden verwerkt omdat er met de verwerking van een pasfoto (/JPEG-afbeelding) alleen "gezichtskenmerken" zouden worden verwerkt.

Jij praat dus keurig die truc na. Misschien ben je wel een lid van de Hoge Raad. Wie zal het zeggen.
Ik wil best applaudiseren voor dat retorische kunstje, zoals ik ook applaudiseer voor een akrobaat in het circus.
Maar als de circusdirecteur of een stalknecht me gaat vertellen dat die akrobaat "niet onderhevig is aan de zwaartekracht", dan zal ik toch met hem van mening blijven verschillen.

De Hoge Raad zou zich niet moeten opstellen als een advocaat van kwade zaken die retorische, juridische trucjes toepast, maar gewoon moeten erkennen dat de gezichtskenmerken op een scherpe pasfoto met de huidige stand der techniek biometrische gegevens zijn - for all practical purposes. En ja, pasfoto's zijn scherp, anders worden ze namelijk niet goedgekeurd als pasfoto. Get real.

Waar heb je het over MJ?

Ik volg gewoon de AVG (en GDPR). Als er ruimte was geweest voor interpretatie hadden ze dat wel op die manier opgeschreven. De AVG/GDPR is overigens geen vinkenlijstje met artikelen waar je naar believen uit kunt kiezen.

Jouw frustratie richting rechters, als ze een uitspraak doen die Joe niet bevalt, is door de terugkerende lezer hier inmiddels wel bekend.

Met 'ze' doel je vast op de opstellers van de AVG (= GDPR, dat is hetzelfde). Ze hebben het op die manier opgeschreven, met ruimte voor interpretatie. Het gaat om de vraag welke interpretatie de rechters vervolgens binnen die ruimte kiezen. Erg jammer dat die rechters ontkennen dat pasfoto's biometrische gegevens bevatten. Daar word je als klant van een bank dan mooi de dupe van.

Alleen reageer je dan alleen op het eerste deel van de zin, terwijl de hele zin aangeeft waar ze het over hebben:
Ja, en daar reken jij opslag ook al toe, want zonder opslag valt er verder niets te verwerken, dus opslag is nodig voor biometrie. Wie had ook alweer de Engelse tekst erbij gehaald, was jij dat zelf? Daar blijkt met "bepaalde" "specifieke" bedoeld te worden. Opslag is geen bewerking die specifiek voor biometrie is.

Als ze daar zouden bedoelen te zeggen dat een foto waarmee biometrie niet lukt geen probleem is dan hadden ze die open deur natuurlijk ook even expliciet kunnen intrappen.

En het ligt natuurlijk erg voor de hand dat ze er nog even op wijzen dat ze het daar in een wet over de bescherming van persoonsgegevens ook helemaal niet over hebben, net zoals ze er nog even expliciet op wijzen dat de voorraadadministratie van een ijzerhandel en een vergelijkend onderzoek naar de grip van verschillende bandenprofielen op een nat wegdek er niet onder vallen. Belangrijk om dat soort dingen expliciet te vermelden. Nee, joh, die wet gaat over verwerking van persoonsgegevens dus daar hebben ze het over.

Alleen niet elke verwerking, alleen verwerkingen die biometrie toepassen.

Ah, "de huidige stand der techniek" (huidige!, meerdere keren); je wierp me tegen dat de AVG rekening houdt met het "voortschrijden van de techniek", en ik maar denken dat de AVG pas gold nadat die was ingevoerd. Waarom benadrukte je meerdere keren iets dat je niet bedoelt?

Vind je dat omdat de uitkomst (volgens jou) niet klopt of omdat de redenatie niet klopt?

Daar denk ik heel anders over ;-)

Ze hebben nu wel alle klanten 3x gecontroleerd .
Fijn dan kunnen er nu wel minimaal 30.000 uit bij al die Banken .
AI doet het beters en snellers en goedkoper .
Scheelt Miljoenen en ze kunnen mooi aan de slag in de Ouderenzorg .
Wel zonder lease auto en 13e maand gewoon weer lekkers met de beide benen op aarde .

Hi, ik ben de Anoniem die op de Engelse versie wees. Ik ben een expert op het gebied van privacyrecht, dus ik wil graag eea duidelijk maken. Ik wil echter beginnen met vaststellen dat ik niet voor niets privacy-expert ben; ik vind dit een van de belangrijkste, en in de EU het meest onder druk staande, mensenrecht. Ik ben dus compleet met je eens dat bedrijven uit gemakszucht of winstmaximalisatie te snel vinden dat hun verwerking van onze persoonsgegevens 'noodzakelijk' is. Daar moeten wij als burgers kritisch naar blijven vragen. De boodschap van een andere Anoniem, namelijk dat een organisatie 'niets tegen ons te verantwoorden hebben, slechts naar de AP' klopt dan ook niet. Wij hebben volgens artikel 12 AVG een recht op informatie en volgens artikel 15 een recht op inzage over de verwerking van onze persoonsgegevens. Die rechten zijn er niet voor de lol, maar om ons in staat te stellen om te begrijpen hoe organisaties onze gegevens verwerken, en zo nodig onze andere rechten uit te oefenen. Tot zover zijn we het dus met elkaar eens.


Hier wil ik echter nuance aanbrengen. De AVG, zoals de meeste EU-verordeningen, is bewust een risico-gebaseerde open norm. Het is enkel een Algemene Verordening, die algemene regels stelt. Veel van die regels moeten door organisaties worden geïnterpreteerd, en door toezichthouders en rechters worden getoetst. Dit past binnen onze Trias Politica: er wordt een balans tussen wetgeving, uitvoering en juridische controle (rechtspraak) gezocht.

Overweging 51 is geschreven door de wetgevende macht. Zij stelt dat foto's in beginsel niet binnen de AVG-definitie van biometrische gegevens vallen. Dat is bewust een juridische definitie, niet een gangbare 'real life' definitie.

Het is waar dat élke foto van een persoon in principe informatie bevat die unieke identificatie mogelijk maakt. Maar, als dat niet feitelijk gebeurt, dan is het risico voor de rechten en vrijheden van de betrokkene in principe laag. Aangezien deze verordening risico-gebaseerd is, is er geen reden om dit aan de zwaardere systemathiek van artikel 9 etc. te toetsen (dat is hoe de AVG werkt, dat betekent niet dat ik het daarmee eens ben).

Maar, als een verwerkingsverantwoordelijke die foto wél gebruikt voor (1) unieke identificatie, (de unieke identificatie of authenticatie - dat wil zeggen het onderscheiden van 1 persoon van de andere (identificatie), en/of het bevestigen dat 1 persoon dezelfde is in twee of meer afbeeldingen (authenticatie)), én voor dat doeleinde (2) specifieke technische middelen inzet, dán wordt er voldaan aan de definitie van biometrische gegevens.

Dit is hoe deze overweging gelezen dient te worden. Je moet beide zinnen (De verwerking van foto's mag niet systematisch worden beschouwd als verwerking van bijzondere categorieën) en (wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken) dus samen lezen.

De tweede zin invalideert jouw interpretatie van de eerste zin. 'Systematisch' betekent hier "niet altijd, alleen in bepaalde gevallen", en de tweede zin legt uit in welke bepaalde gevallen dat wél geldt. Oftewel, 'systematisch' in de eerste zin kan alleen geïnterpreteerd worden door de tweede zin toe te passen. Dat is precies wat de Hoge Raad geprobeerd heeft te doen. Het is niet de schuld van de Raad dat de wetgever deze overweging heeft gemaakt. De Raad kan alleen toetsen of de wet zo gelezen moet worden of niet. De Raad kan natuurlijk ook toetsen of deze inbreuk noodzakelijk is in een democratische samenleving, maar alleen als daarnaar gevraagd wordt. Dat heeft de rechter in die casus helaas niet gedaan.

Dan komen weer terug bij artikel 29 Uitvoeringswet AVG. Hierin heeft de Nederlandse wetgever de AVG geïnterpreteerd en kaders gesteld voor de toepassing daarvan. Die luidt "het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken is niet van toepassing, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden .

In de memorie van toelichting (waarin de wetgever uitlegt wat die met bepaalde formuleringen in de wet bedoeld heeft), wordt uitgelegd dat 'noodzakelijk' alleen geldt wanneer het gaat om 'zwaarwegend algemeen belang'. Helaas is het enige voorbeeld dat gegeven is, een kerncentrale. Dat geeft weinig ruimte voor interpretatie, en dit zorgt dat een bank dus maar zelf gaat gokken of dat kan (en surprise surpise, dan vinden zij van wel). Dit is een slordigheid van de wetgever, naar mijn mening. Zie de AP: https://www.autoriteitpersoonsgegevens.nl/actueel/antwoord-op-prangende-juridische-vragen-over-gezichtsherkenning

Zoals ik in mijn vorige opmerking zei, kan ik je aanbevelen om niet te blijven haken op de vraag of élke foto een biometrische verwerking inhoudt. De wetgevers hebben bepaald dat dat niet in de definitie valt, dus die strijd kan je alleen winnen door een aanpassing van de wet te lobbyen. Waar je wél een punt hebt, en waar dus ruimte voor discussie is, is dat de ASN geen zwaarwegend algemeen belang heeft bij deze identificatie, en dat er minder ingrijpende middelen bestaan. Hun verwerking van biometrische gegevens is dus niet noodzakelijk.

Toch een kleine rectificatie:

Dit gebeurt niet alleen door ASN. Dit doet elke bank.

Daarnaast is er een verschil tussen identificerende- en biometrische gegevens. Daarnaast gaat identificatie om de vraag "Wie ben jij?" en biometrie om de vraag "Ben jij wel wie je zegt dat je bent?"

Klopt, alle banken doen dit. Maar, dit topic gaat specifiek over ASN, en daarnaast moet je bij elk geval de specifieke omstandigheden meewegen. Daarom heb ik het in mijn antwoord specifiek over de afweging die ASN heeft gemaakt. Ik ken niet alle omstandigheden die meewegen bij andere banken, dus laat ik die achterwege.


Biometrie is geen vraag, maar een middel. Je gebruikt een lichaamskenmerk (gezicht, vingerafdruk) om iemand aan een persoon te koppelen.

Dat middel kun je voor allebei de vragen inzetten:
"Wie ben jij?" is identificatie: je zoekt de persoon op tussen velen (one-to-many).
"Ben jij wie je zegt?" is verificatie: je controleert één claim tegen één opgeslagen referentie (one-to-one).

Het verschil zit dus tussen identificatie en verificatie, niet tussen "identificerende gegevens" en "biometrische gegevens". En in beide gevallen vergelijk je de persoon met een uniek, eerder vastgelegd kenmerk; ook bij "ben jij wie je zegt" pin je iemand vast op zijn unieke identiteit. Daarom is het te kort door de bocht om biometrie gelijk te stellen aan alleen die tweede vraag

@privacy679 op 15 juni 2026 om 12:35 uur.

Bedankt voor je nadere toelichting. Fijn om te lezen dat we het op een aantal punten eens zijn. Dan ga je over tot het pièce de résistance:

1. In de overweging zelf staat "moet niet systematisch worden beschouwd". Dat is iets anders dan "moet in beginsel niet worden beschouwd". Dus hier is al sprake van een keuze hoe men overweging 51 wil interpreteren.

2. Ik denk dat het hele onderscheid tussen een juridische definitie en een "real life" definitie, zodra dit onderscheid wordt gebruikt ter rechtvaardiging van een bepaalde wetsinterpretatie, al zeer dubieus en waarschijnlijk onethisch is.

Om dat even op scherp te stellen, het volgende denkvoorbeeld. Stel dat iemand ter dood veroordeeld wordt op grond van een "juridische definitie" van moord, terwijl er vanuit een "real life" perspectief sprake was van zelfverdediging of een onoverzichtelijke situatie waarin diegene juist mensenlevens probeerde te redden, dan zouden wij zo'n vonnis ethisch onaanvaardbaar vinden.

Ik begrijp heel goed dat de door jou genoemde interpretatie wordt gevolgd door (bijna) alle beslissers, inclusief rechters, en door gevestigde experts. Daar zit juist ook het probleem. Het is niet alleen een juridisch probleem, maar ook een cultuurprobleem bij de bestuurlijk-juridische elite. Die hanteert een burger-onvriendelijk paradigma. We weten allemaal al sinds Thomas Kuhn (paradigmatheorie) dat paradigma's bijna nooit veranderen of vervangen worden als gevolg van redelijke argumenten. Kuhn had het over "nieuwe generaties wetenschappers". In essentie gaat het om verschuivingen in machtsverhoudingen die tot het veranderen of vervangen van paradigma's kunnen leiden.

Dit lijkt mij op twee punten geen juiste aanname:
1. De impliciete aanname dat die unieke identificatie niet feitelijk gebeurt, is veelal niet juist. Het kan in sommige gevallen even duren, maar die gegevens komen in profielen terecht waar ze gebruikt worden voor unieke identificatie. Die gegevens (gezichtskenmerken) zijn in de feitelijke werkelijkheid eenvoudigweg tè aantrekkelijk om ze daarvoor niet te gebruiken als het wel "kan". De enige manier om dat te voorkomen, is om het vereiste van dataminimalisatie echt te respecteren. In de praktijk gebeurt dat niet.
2. Ook los van rechtstreekse unieke identificatie wordt er met dergelijke persoonsgegevens van alles gedaan dat (soms indirect, via meerdere stappen) een negatieve invloed heeft op de rechten en vrijheden van de betrokkene. De realiteit is in heel veel gevallen dat zodra een natuurlijke persoon de controle verliest over zijn eigen persoonsgegevens (in de zin van verlies van feitelijke beschikkingsmacht èn verlies van de macht om tijdig adequaat inzicht te hebben in wat er met die gegevens gebeurt), organisaties (d.w.z. verwerkingsverantwoordelijken) zich vrij voelen om van alles met die gegevens te doen waarbij het vereiste van "doelbinding" zodanig wordt opgerekt dat het geen feitelijke betekenis meer heeft (extreme "function creep").

Het idee dat de verordening "risico-gebaseerd" is, zoals jij zegt, is in zichzelf al een interpretatie van hoe de verordening zou moeten worden gelezen. Ik begrijp dat dit een zeer gangbare interpretatie is, en dat ik daar in de praktijk niets aan kan veranderen. Maar het moet wel benoemd worden dat dit geen objectief noodzakelijke interpretatie is, maar een keuze. Het is een keuze die zeer breed wordt gedragen door het bestuurlijk-juridische establishment. Maar wel een keuze.

Maar goed, als we van deze interpretatie uitgaan, dan zou juist moeten worden erkend dat de verwerking van de gezichtskenmerken op pasfoto's feitelijk een zeer groot risico met zich meebrengt met het oog op lekken en misbruik. Dit juist ook omdat zo'n gegeven maar één keer hoeft te lekken (in een bepaalde context) en alles wat met dat gegeven in verband kan worden gebracht, is onmiddellijk herleidbaar tot een unieke persoon. Want afgezien van enkele kroongetuigen en overgelopen spionnen, zal geen enkele burger een complete "make-over" van zijn gezicht ondergaan, nog los van de vraag of iemand iets dergelijks zou willen (zolang er geen sprake is van een extreem onveilige situatie).

Daar komt bij dat juist artikel 9 van de AVG voor een belangrijk deel een niet-risicogebaseerde benadering volgt. Immers, in dat artikel gaat het primair niet om (inschattingen van) risico's, maar om een strikte, objectieve, aantoonbare noodzaak voordat de betreffende gegevens mogen worden verwerkt. Wat jij eigenlijk zegt, is dat omdat de AVG (volgens die gangbare interpretatie) voor het overgrote deel een "risico-gebaseerde" benadering volgt, de toepassing van één van de weinige niet-risico-gebaseerde artikelen daarvan ook nog maar eens geminimaliseerd zou moeten worden. Alsof artikel 9 niet net zo goed een onderdeel is van de AVG als de andere, minder stringente artikelen. Ik vind dat een onjuiste, burgervijandige manier van redeneren.

De AVG is een tekst. Hoe de AVG "werkt", hangt af van de interpretatie die rechters en toezichthouders eraan geven.

Nee, dat ben ik niet met je eens. Ik heb al eerder aangevoerd dat het opslaan van gezichtskenmerken op een pasfoto (bijv. in JPEG-formaat) zèlf al een verwerking is "met behulp van bepaalde [d.w.z. specific] technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken".

Jij voert geen argumenten aan waarom die interpretatie van mij niet zou kunnen. Hij kan prima, maar het bestuurlijk-juridische establisment wil hem niet. Dat heeft te maken met bestuurlijke, politieke en commerciële belangen - belangen die diametraal tegenover de doelstelling van de AVG staan om de persoonsgegevens van natuurlijke personen goed te beschermen (artikel 1 AVG).

Dat ben ik met je eens, mits je hier met "bepaalde gevallen" bedoelt: "sommige gevallen".

Ja, en ik heb aangegeven waarom bij het opslaan van een pasfoto (bijv. in JPEG-formaat) die tweede zin wel degelijk van toepassing is.

Mijn stelling is dat de toetsing van de Hoge Raad anders zou zijn uitgevallen als de Hoge Raad het doel van de AVG, namelijk de bescherming van natuurlijke personen, werkelijk centraal had gesteld in zijn toetsing, en zich niet had laten afleiden door de hierboven door mij genoemde, bestuurlijke, politieke en commerciële belangen.

Kun je aangeven waar er in de materiële of procesrechtelijke wetgeving staat dat de Hoge Raad zo'n inbreuk niet ambtshalve zou mogen toetsen aan artikel 8, tweede lid EVRM (een internationaal verdrag)? Het lijkt mij dat artikelen 93 en 94 van onze Grondwet juist van de Hoge Raad verlangen dat die zo'n toetsing wel doet, zodra dat invloed kan hebben op de overwegingen en conclusies in het door de rechter uit te spreken oordeel.


Ik ben het met je eens dat dit artikel van de UAVG een voorbeeld is van slechte wetgeving. Maar ik zou het, anders dan jij, geen "slordigheid" noemen. Misschien formuleer jij het diplomatiek, en ik verwacht niet dat jij hier op dit forum het openlijk zult zeggen als jij het, net als ik, een voorbeeld van "malafide" en "burgervijandige" wetgeving zou vinden. Er is echt wel over nagedacht door de ambtenaren en politici die deze wetgeving hebben opgesteld.

Ik zie in deze alinea van jou een bepaald soort conformisme. Misschien is dat nodig om als privacy-expert, zoals jij aangeeft te zijn, in de praktijk te overleven in het huidige krachtenveld in Nederland en de EU. Maar ik wil graag op de volgende dingen wijzen:

1. Ik blijf niet haken op de vraag of élke foto een biometrische verwerking inhoudt. Uit mijn reactie op 08-06-2026 om 14:22 uur (want ja, dat was ik, zoals je uit mijn schrijfstijl ongetwijfeld al geconcludeerd hebt) kun je al concluderen dat ik daar niet op blijf haken. Maar ik zie ook geen aanleiding om mijn stellingname op dat punt te verlaten. Ik blijf het bestuurlijk-juridische establishment erop wijzen dat dit establishment collectief, in bestuurlijk-juridische consensus, een bepaalde, burgervijandige keuze maakt, die objectief gezien niet nodig is.

2. Ik verwacht helemaal niet om enige "strijd daarover te winnen". Niet met redelijke argumenten en ook niet met intern-Nederlandse politieke argumenten. Ik heb al lang geconcludeerd dat een dergelijke strijd pas te winnen zou vallen als er een politiek-bestuurlijke aardverschuiving zou plaatsvinden. Mogelijk in de vorm van een ramp.

Vergelijk dit met het langdurige wegkijken van het bestuur, de toezichthouders èn de rechterlijke macht waar het ging om de risico's bij het verwerken van persoonsgegevens door bedrijven in de VS of dochterbedrijven daarvan (casus Solvinity en DigiD). Als niet Donald Trump, maar Kamala Harris in 2024 tot president van de VS was verkozen, zou het Nederlandse en Europese bestuurlijk-juridische establishment op dat punt nog steeds wegkijken. Alleen de politieke aardverschuiving die Trump c.s. teweeg hebben gebracht, heeft daar verandering in gebracht en het voor het Nederlandse bestuurlijk-juridische establishment politiek onmogelijk gemaakt om op dat specifieke punt het ontkennings- en verhullingsgedrag 100% voort te zetten.

3. Jouw idee dat ik pas "een punt heb" en "ruimte voor discussie" als ik de macht heb om mijn mening door te zetten, laat jouw pragmatische conformisme zien. Mijn opvatting is dat ik ook "een punt heb" als ik op goede gronden iets zeg zonder te beschikken over de macht om anderen ertoe te bewegen om de redelijkheid daarvan in te zien, laat staan de macht om het te effectueren. Het is een keuze van jou om hier geen "ruimte voor discussie" te zien - een keuze waarmee jij je bij het bestuurlijk-juridische establishment schaart.

Hier op dit forum zit ik niet in de rol van een expert die graag wil dat z'n advies door de leiding van een organisatie wordt overgenomen - de rol waarin jij je kennelijk nog steeds voelt zitten. Ik zit hier in de rol van iemand die gewoon naar beste weten de waarheid kan zeggen. Allerlei dissidenten hebben deze laatstgenoemde rol vervuld. Meestal hebben ze daarvoor een hoge prijs betaald en er geen beloning voor gekregen. In luttele, zeer uitzonderlijke gevallen (bijvoorbeeld Vaclav Havel) zijn ze later opeens in een positie terechtgekomen waarin ze wel bestuurlijke invloed kregen. Persoonlijk verwacht ik dat in mijn geval helemaal niet. Ik heb op dat punt niets te verliezen. Jij misschien wel - dat weet ik niet. Ik kan gewoon de waarheid zeggen.

4. Op het laatste punt (dat er voor ASN minder ingrijpende middelen bestaan om te voldoen aan de Wwft) ben ik het met je eens. En dat zal ik ook zeker aanvoeren in mijn communicatie met ASN.

M.J.

Ja en nee. Ja het opslaan van een gegeven is een verwerking, maar opslag van een gegeven leidt niet perse tot biometrische afdruk.


Je doet net alsof hier niet op getoetst wordt? Een moord moet onomstotelijk worden vastgesteld, anders kom je direct al in de categorie doodslag of noodweer oid. Zo ga jij ook met privacy om, jij gaat er vanuit (op basis van eigen ervaring denk ik) dat er in de gehele keten nooit meer een PDCA cyclus wordt doorlopen.


Nee het is precies hetzelfde. Het is juist dat jij dat een keuze maakt hoe je het interpreteert.


Heb je daar in het kader van de wwft (of banken en de persoonsgegevens die ze verwerken) een voorbeeld van?

Schattig dit... mensen die denken dat privacy belangrijker is den belasting betalen...

Voorbeeldje:

https://www.rechtspraak.nl/organisatie-en-contact/organisatie/rechtbanken/rechtbank-amsterdam/nieuws/2018/11/belastingdienst-museumkaart

Succes met de Wft.

Goh, pasfoto's kunnen volgens een rechter dus tóch biometrische gegevens bevatten. Lees maar:


Nee, vooral doorgaan met het ongelimiteerd scannen van gezichten en pasfoto's, en mensen dwingen daaraan mee te werken. Dan komt het vast goed! /not.
De banken organiseren hun eigen fraude.

Goh, pasfoto's kunnen volgens een rechter dus tóch biometrische gegevens bevatten. Lees maar:


Nee, vooral doorgaan met het ongelimiteerd scannen van gezichten en pasfoto's, en mensen dwingen daaraan mee te werken. Dan komt het vast goed! /not.
De banken organiseren hun eigen fraude.

En daarbij gesteund door de (Europese) wetgever i.c. de AVG/ GDPR, die een dubieuze, ambivalente opvatting van "biometrisch gegeven" hanteert.

Dit lijkt m.a.w. op een 'two-tier'-systeem: één opvatting (van biometrische gegevens) voor individuele bankrekeninghouders/ klanten/ burgers, welke opvatting verwant is aan een 'real life'-definitie en een àndere opvatting voor banken -een maatschappelijke institutie- die een "juridische" definitie behelst, welke bedoeld is om het (steeds meer mensvijandige) functioneren van maatschappelijke instituties te legitimeren.

Je kunt ook zeggen: het functioneert als een 'loop', als een positieve feedback loop in een systeem, waardoor het gehele systeem zichzelf versterkt. Dit systeem is het geheel wat de maatschappelijke status quo vormt (beschermt).
Het steeds meer onttrekken van biometrische data aan mensen leidt tot steeds meer fraude, die als reden aangevoerd wordt om nog meer biometrische data te onttrekken. Tot in het oneindige. Loop.
Het doel van het systeem is: controle met het oog op het behoud van de status quo.

Je begrijpt het niet.

Het kunnen aanvragen van 'met AI gegenereerde ID bewijzen' rekeningen is juist een reden voor heridentificatie.
En daar sta ik in dat geval ook helemaal achter dan, eerlijk gezegd.

Argument is pro function creep.
Bovendien is de veroordeelde man hoogstwaarschijnlijk niet -het oordeel van de rechter geeft daar geen inzicht in- bij de bank tegen de lamp gelopen bij heridentificatie, maar n.a.v. signalen uit het gebruikte detectiesysteem, die duidden op het vervalsen van ID-bewijzen bij het online onboardingsproces van de bank.