De afgelopen maanden is de ASN bezig met het her-identificeren van klanten. Diverse betrokkenen hebben zich bij ons gemeld om te vragen of de voorgestelde biometrische identificatie allemaal zo maar mag. Het antwoord daarop is lang en ingewikkeld. En tegelijk eenvoudig.
Het verwerken van bijzondere persoonsgegevens zonder expliciete uitzondering op het wettelijk verbod hierop (art. 9 Algemene Verordening Gegevensbescherming) mag niet, maar heel Nederland houdt zich niet aan het verbod en de AP gedoogt dat al jaren.
De ASN Bank echter, houdt zich er desondanks wél aan. ASN doet richting de klanten haar stinkende best om dit in orde te maken en hun grondrechten te bewaken. Dat verdient grote complimenten, want het is niet de makkelijke en ook niet de goedkoopste weg. Maar wél de juiste.
HRIF.EU complimenteert ASN voor bewust omgaan met biometrie en AVG !
HRIF.EU complimenteert de ASN, management ASN en de FG van Volksbank/ASN hierbij nadrukkelijk en uitdrukkelijk met haar verantwoordelijke houding richting klanten die geen uitdrukkelijke toestemming geven voor verwerking van hun biometrische gegevens. De ASN toont zich hier de witte raaf die laat zien hoe maatschappelijk verantwoord bankieren niet alleen met slogans maar ook écht in de praktijk ingevuld wordt.
Lees hieronder door, als je meer wilt weten.
Wat is de situatie bij ASN en heridentificatie van klantgegevens?
Wie een blik wil werpen op wat er gaande is rond de heridentificatie van klanten kan een kijkje nemen op deze pagina van een betrokken klant. Je kunt meelezen hoe de ASN bij de periodieke hercontrole van klanten het liefst een automatische biometrische identificatie wil doen. Je kunt dan gebruik maken van de digitale data in de chip van het paspoort, die uitlezen en opslaan en een identificatie met de selfie in de telefoon maken. De techniek maakt het mogelijk.
Juridisch lijkt het erop alsof het ook zou kunnen. Er is het nodige al besproken bij Kifid, rechters over de vraag of er gerechtvaardigd belang is dat maakt dat ASN/Volksbank dit zou mogen. Verder heeft Privacy First dit punt ook al aan de orde gesteld in vragen aan de Minister van Financiën (zie hun verzoek op de pagina hier). Want de praktijk van nu schuurt met de wet.
Er is daarom ook het nodige te doen over dit gebruik en opslaan van biometrisch profiel en diverse klanten hebben zich al tot ASN gewend. In het verlengde daarvan handelt de ASN nu responsief. De website van mw. Koopman meldt hierover het volgende:
Wat is er bij de ASN aan de hand, qua toezicht?
Het is geen geheim dat de Volksbank en ASN onder DNB toezicht staan. Het is ook geen geheim dat DNB toezicht op KYC-verplichtingen nogal strak is aangezet en dat als je 12 meldingen ongebruikelijke transacties niet hebt gedaan je al een boete en toezichtmaategel kunt krijgen. Dat is allemaal een tandje té intensief en disproportioneel, maar strikt juridisch mag DNB dat doen.
Het gevolg is dat ASN nu om de donder alle klantbestanden opnieuw moet identificeren en een inhaalslag te maken heeft. Dus in principe zou je – net als lang geleden – alle klanten naar het kantoor halen om te identificeren in gevallen waar je geen actuele paspoort of identiteitsinformatie heeft. ASN besluit echter om het met moderne middelen te doen. Biometrische identificatie is zo’n middel.
Alle andere banken doen het allemaal ook. Alle fintechs doen het. Maar mág het ook met zoveel woorden, het opslaan en verwerken van die biometrische gegevens bij een gezichts-scan? De algemene visie bij klachtinstellingen en rechtbanken lijkt te zijn dat er een gerechtvaardigd belang is. Maar gerechtvaardigd belang is niet juridisch genoeg bij bijzondere biometrische persoonsgegevens.
Veel marktspelers verhullen dit thema, maar de ASN verdient complimenten omdat zij zich deze juridische analyse realiseert en ernaar handelt. Voor de klanten die het niet willen regelt ze een uitzondering. Hulde!
Biometrische gegevens: wat mag wél en wat niet ?
Biometrische gegevens zijn bijzondere persoonsgegevens en die verwerken is verboden tenzij in de wet het verbod expliciet is opgeheven. Ook de AP beschrijft dat duidelijk in een advies aan ABN AMRO bank in 2019. Zonder wet geen verwerking.
Nu is de wet niet gewijzigd in Nederland dus verwerking mag niet plaatsvinden. Simpel. Alleen wat het ingewikkeld maakt is dat AP zich niet aan het eigen advies houdt. En de rechtspraak en klantinstituten hebben zich nooit rekenschap kunnen geven van bovenstaand advies van de AP, omdat het pas in september 2025 openbaar werd via dit Woo-besluit.
AP gedoogt massief én welbewust de bancaire overtredingen van artikel 9 AVG
Banken in Nederland en rechters zouden kunnen zeggen; ach, dat Europese verbod, daar moet je niet zo zwaar aan tillen. Er komt ook Europese regelgeving aan waarin we dit wel mogen. Dus begin maar vast.
Tja, dat is dezelfde redenering als destijds bij het sleepnet. Er komt regelgeving aan om particulieren te monitoren. Banken begonnen alvast met Transactie Monitoring Nederland en monitorden circa 1,5 miljard transacties met bijzondere persoonsgegevens. De AP kreeg in 2021 alle informatie hierover (zie dit Woo-besluit), inclusief het feit dat particulieren in het sleepnet zaten. En deed niets. DNB deed ook niets. Zelfs toen de voorgenomen wet werd ingetrokken stopte het niet.
Wij kwamen wel in actie. Wij stopten het sleepnet (ziehier de uitleg). En het is ons een doorn in het oog dat de Autoriteit Persoonsgegevens en DNB nog steeds niet ingrijpen en de gemaakte schade niet willen herstellen. Dus daarover lopen al procedures, maar dat gaat heeeel langzaam. En in de tussentijd houdt menige speler zich niet aan het verbodsartikel 9 uit de AVG.
Als de AP niet handhaaft dan rijden marktpartijen gewoon door rood
Zo ontstaat door het gedogen van het verbodsartikel 9 uit de AVG (door de AP) een situatie waarin de Nederlandse banken in afwijking van dit artikel en in afwijking van het advies van de AP: wél bij hun monitoring en onderzoeken bijzondere persoonsgegevens opslaan en verwerken (zoals nationaliteit, etniciteit, beroep (sekswerker, coffeeshop, dominee, kerkbestuurder). Banken weten dat het niet mag en zeggen dan bij discriminatieklachten: er is ‘ervaren’ discriminatie.
Het zijn praatjes voor de vaak. Vrijwel alle bancaire en fintech partijen in Nederland monitoren en gebruiken bijzondere persoonsgegevens zonder uitdrukkelijke toestemming zoals die onder de AVG nodig is en waaraan grote eisen verbonden zijn (want de implicatie: zonder deze toestemming ben je je rekening kwijt betekent alleen al dat de toestemming niet geldig is).
ASN is hierop de uitzondering. ASN houdt zich tegen de klippen op, netjes aan de regels. De ASN stopt voor het rode stoplicht van artikel 9 van de AVG, waar niemand anders het doet. Omdat het het juiste is. Omdat het in de wet staat. Zo hoort het.
Nogmaals: HRIF.EU complimenteert ASN op dit punt !
Wie niet in de banksector werkt kan maar moeilijk begrijpen hoe ontzettend belangrijk en veelzeggend de houding van ASN is. ASN is een kleine bank, doet eigenlijk niet mee met de grote jongens maar doet wél het goede. Ze riskeren het uitgelachen te worden door alle collega’s.
De Functionaris Gegevensbescherming ASN krijgt van iedereen te horen: ‘Maar alle andere banken doen het wel, waarom moeten wij die extra kosten maken om het wél netjes volgens de wet te doen’. Het antwoord is simpel: het staat in de wet. Voor een rood stoplicht moet je stoppen.
Ons compliment: De ASN is op dit punt de enige bank in Nederland die de AVG wél respecteert, die de klantbelangen beschermt en die nog oprecht inhoud geeft aan een bankierseed die de rest van Nederland, inclusief grootbanken, al lang vergeten zijn.