De identiteit van klanten digitaal controleren en verifiëren maakt KYC-processen (Know Your Customer) een stuk efficiënter. Maar om ook risicopartijen als Legal en Compliance te overtuigen van digitale identificatie, moet je goed beslagen ten ijs komen. Wij zetten voor je op een rij wat kan en mag op het gebied van digitale identificatie. Zo kun jij op een constructieve manier met hen in gesprek gaan over dit thema.
In dit artikel:
● Waarom digitaal identificeren een goed idee is
● Hoe werkt digitaal identificeren met OcktoID?
● Hoe zit het met de wetgeving?
● Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft)
● De Nederlandsche Bank (DNB): eIDAS Substantieel voldoende betrouwbaar
● iDIN: identiteitsverificatie met eIDAS Substantieel
● Autoriteit Financiële Markten (AFM)
● Ontbrekende gegevens: Basisregistratie Personen (BRP)
● Algemene Verordening Gegevensbescherming (AVG)
● Hoe kun je KYC-innovatie en identiteitsverificatie intern op de agenda krijgen?
Waarom is digitaal identificeren een goed idee?
Laten we beginnen met een belangrijke eerste vraag: waarom is digitaal identificeren een slimme zet? Veel financieel dienstverleners werken nog met fysieke identificatie. Dat betekent dat klanten op kantoor langskomen om hun identificatiebewijs te laten zien.
Bij fysieke identificatie komen veel tijdrovende stappen kijken en bij elk van die stappen kan iets misgaan.
De medewerker van het advieskantoor controleert of iemand daadwerkelijk de persoon is die op het bewijs staat. Vervolgens wordt van het identiteitsbewijs een kopie gemaakt. Dan geeft de medewerker met een waarmerk aan dat de klant fysiek is langskomen en dat de identificatie klopt.
Als er nog geen hypotheekovereenkomst is gesloten, dan moet de adviseur of bank het BSN onleesbaar maken. En als het om een hypotheekadviseur gaat, dan moet diegene het kopie insturen naar de geldverstrekker. Daarna moet de geldverstrekker ook nog allerlei controles uitvoeren.
OcktoID maakt KYC-identificatie voor klanten én voor medewerkers efficiënter, betrouwbaarder en altijd volledig AVG- en Wwft-compliant. Klanten hoeven niet meer voor een identificatie op kantoor langs te komen. De klant haalt via de Ockto-app de iDIN-identificatiegegevens op (door in te loggen met de eigen bank) en logt met DigiD in om gegevens uit de Basisregistratie Personen (BRP) op te halen. Vervolgens voert Ockto business rules en cross-checks uit om tot een betrouwbare identificatie te komen.
Hoe werkt dat met OcktoID?
OcktoID biedt een digitale identiteitsverificatie die voldoet aan alle eisen van de Wwft, bijvoorbeeld om een hypotheek af te sluiten of rekening te openen.
In vijf stappen heeft de klant zichzelf geïdentificeerd:
- Je nodigt de klant uit om zich met Ockto te identificeren.
- De klant downloadt de Ockto-app en start het proces.
- In de app logt de klant via DigiD in bij MijnOverheid. Daarna wordt een identiteitsverificatie gedaan via iDIN (of – als dat niet kan – via eIDV).
- De klant ziet precies welke gegevens zijn opgehaald en geeft toestemming om deze met de financieel dienstverlener te delen.
- De gegevens worden versleuteld naar de dienstverlener verstuurd. De identiteitsverificatie is afgerond.
Hoe zit het met de wetgeving?
Het is uiteraard belangrijk dat de vorm van digitale identificatie die je gebruikt aan alle wetgeving voor KYC-identificatie voldoet. Dat is bij OcktoID het geval.
OcktoID voldoet aan de Wet tegen witwassen en financieren van terrorisme (Wwft) en aan de Algemene Verordening Gegevensbescherming.
We lichten dit graag toe. De onderstaande informatie geeft jou de inhoudelijke kennis om het gesprek over digitale identificatie aan te gaan met je collega’s van bijvoorbeeld Risk, Compliance of Fraude.
Direct naar:
● Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft)
● De Nederlandsche Bank (DNB): eIDAS Substantieel voldoende betrouwbaar
● iDIN: identiteitsverificatie met eIDAS Substantieel
● Autoriteit Financiële Markten (AFM)
● Ontbrekende gegevens: Basisregistratie Personen (BRP)
● Algemene Verordening Gegevensbescherming (AVG)
Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft)
De Europese Anti Money Laundering Directive wordt in Nederland uitgevoerd in de vorm van de Wwft. Bijna alle financieel dienstverleners in Nederland hebben daarmee te maken en zijn daardoor verplicht een KYC-programma op te stellen.
Zo’n KYC-programma verlangt onder andere dat er identiteitsverificatie plaatsvindt met een ‘voldoende betrouwbaar identificatiemiddel’. Dit staat ook in de bijbehorende Uitvoeringsregeling; artikel 4, lid 1, sub h. Met OcktoID voldoe je aan die eisen.
De Nederlandsche Bank (DNB): eIDAS Substantieel voldoende betrouwbaar
Voor identificatie conform de Wwft is dus een “een voldoende betrouwbaar identificatiemiddel” nodig. Een kopie ID is niet verplicht vanuit de wet. De Nederlandsche Bank (DNB, toezichthouder voor alle geldverstrekkers in Nederland) zegt daarover in de Leidraad WwFT en Sanctiewet, versie december 2020 op pagina’s 48 en 49:
“De instelling kan hiertoe nieuwe processen bedenken voor het inrichten van de identificatie en verificatie van de cliënt. Denk hier bijvoorbeeld aan (een combinatie van) video-identificatie en verificatie, het uitlezen van de chip op het identiteitsdocument, het toepassen van een livenesscheck en het gebruik van een eID-middel met een adequaat betrouwbaarheidsniveau.
Hoe dit proces er precies uitziet, bepaalt de instelling zelf op een risico gebaseerde wijze met in achtneming van de verplichtingen opgenomen in artikel 3, 5 en 8 Wwft – de vastlegging en regelmatige herziening is hierbij van belang.”
Daarbij heeft DNB op 9 februari 2021 in een uitspraak bevestigd dat je voor identiteitsverificatie gebruik mag maken van elektronische identificatiemiddelen (eID-middelen) om te voldoen aan de verplichtingen uit de Wwft. Voorwaarde is dat het gebruikte eID-middel voldoende betrouwbaar is. Een eID-middel is voldoende betrouwbaar als het betrouwbaarheidsniveau ‘Substantieel’ of ‘Hoog’ heeft.
iDIN: identiteitsverificatie met eIDAS Substantieel
Bij identiteitsverificatie met OcktoID wordt gewerkt met iDIN, in combinatie met gegevens uit de Basisregistratie Personen. Met iDIN kunnen we de identiteit van een persoon vaststellen op het eIDAS-niveau Substantieel. Recent heeft accountancy-bedrijf Ernst & Young (EY) een verklaring afgegeven waarin staat dat iDIN voldoet aan de eisen voor het eIDAS-niveau Substantieel.
Niet alleen zijn alle iDIN-normen en -regels opgezet volgens het niveau eIDAS Substantieel, de iDIN-normen zijn zelfs gedetailleerder dan de eIDAS-norm. De iDIN-normen geven extra richting om voldoende aan te tonen dat daadwerkelijk aan eIDAS wordt voldaan.
Autoriteit Financiële Markten (AFM)
Ook de leidraad van de AFM (de Autoriteit Financiële Markten, de toezichthouder voor onder andere hypotheekadviseurs en andere financieel planners) ondersteunt dat je geen kopie ID hoeft te gebruiken. OcktoID kan gebruikt worden als KYC-identificatiemiddel.
Op pagina 27 van de Leidraad Wwft en Sanctiewet, aangepaste versie oktober 2020 staat:
Het staat instellingen vrij om innovatieve oplossingen voor de verificatie van de identiteit te bedenken. Deze bestaan bijvoorbeeld uit verificatie van de identiteit van cliënten (die niet in persoon aanwezig zijn) op basis van traditionele identiteitsdocumenten (bijvoorbeeld een paspoort, een rijbewijs of een nationale identiteitskaart) via verschillende draagbare apparaten zoals smartphones.
Overigens geeft de Wwft ook aan dat financieel dienstverleners mogen vertrouwen op het klantonderzoek van een andere Wwft-instelling. Dit staat in artikel 5 van de Wwft. Het uitgangspunt is wel dat de instelling verantwoordelijk blijft voor het klantonderzoek en de risicobeoordeling van de klant.
Ontbrekende gegevens: Basisregistratie Personen (BRP)
iDIN levert waardevolle informatie voor de identificatie van klanten, maar levert op zich niet alle gegevens die de Wwft vereist (artikel 33 lid 2) voor de volledige identificatie van een persoon. Daarom halen we onder andere de voornamen, het huidige adres en informatie over het identiteitsbewijs (zoals het documentnummer en de datum en plaats van uitgifte) uit een andere bron
OcktoID haalt de ontbrekende gegevens op bij de Basisregistratie Personen (BRP). Hierbij wordt ook een cross-check gedaan waardoor de identificatie met OcktoID extra betrouwbaar wordt, en er een cross-check tussen een publieke (BRP) en private bron (iDIN) wordt gedaan. Daarmee voldoet OcktoID aan de Wwft.
Algemene Verordening Gegevensbescherming (AVG)
Verder is identificatie met OcktoID ook AVG-proof. Oftewel: het voldoet aan de Algemene Verordening Gegevensbescherming. Deze wet stelt dat je alleen die gegevens van een klant mag hebben die je absoluut nodig hebt en alleen voor een bepaald doel. OcktoID maakt het juist mogelijk om alleen de noodzakelijke gegevens op te halen. Je ontvangt bijvoorbeeld geen BSN, terwijl bij fysieke identificatie nogal eens wordt vergeten om die gegevens onleesbaar te maken.
Daarnaast worden de gegevens versleuteld verstuurd en worden deze pas verzonden nadat de klant hier zelf toestemming voor heeft gegeven. De klant kan altijd precies zien welke gegevens hij of zij gaat versturen.
Reconstructie identificatie
Verder is het belangrijk dat de identificatie te reconstrueren is. Dat is bij OcktoID het geval. OcktoID levert een ondertekend iDIN-bestand mee, waarmee de identificatie te reconstrueren is.
Hoe kun je KYC-innovatie en identiteitsverificatie intern op de agenda krijgen?
Afdelingen als Compliance en Risk hebben als doel om risico’s uit te sluiten. Het is dan ook heel logisch dat zij innovaties zorgvuldig willen onderzoeken voordat ze er een akkoord op geven. Tegelijkertijd is het goed om te weten dat er steeds meer mogelijkheden voor digitale identificatie komen die ook voldoen aan het juiste eIDAS-niveau.
Wij adviseren om vooral (met de bovenstaande informatie) proactief met risicopartijen in gesprek te gaan. Laat zien op welke manieren digitale identificatie met OcktoID aan de eisen en wetgeving voldoet. Jullie staan niet tegenover elkaar. Jullie kunnen elkaar juist helpen, als je maar bereid bent je in de ander te verplaatsen en dingen in detail uit te zoeken voor elkaar.
Wil je met digitale identificatie aan de slag gaan? Deze tips kunnen helpen om de interne risicopartijen mee te krijgen:
Kom zo snel mogelijk in contact met de risicopartijen. Leg uit wat OcktoID inhoudt en maak duidelijk dat het net zo veilig is als fysieke identificatie (gezien alle maatregelen en controles die Ockto uitvoert).Ga echt de dialoog met elkaar aan. Het is voor risicopartijen niet prettig als je alleen een PowerPoint doorstuurt en hoopt dat dat voldoende informatie biedt. Ga er echt samen voor zitten om het te bespreken. Hoe worden de risico’s ondervangen? Op welke manieren voldoet OcktoID aan de gestelde eisen? Welke voordelen heeft het voor de organisatie? Zo kun je samen in mogelijkheden denken.
Maak duidelijk dat het allerhoogste eIDAS-niveau niet altijd nodig is voor identificatie. Het niveau Substantieel is bijvoorbeeld al voldoende om nieuwe klanten te onboarden en om een hypotheek te verstrekken. Het is goed om het daar met elkaar over te hebben. Wanneer je zonder zicht op de verdere context aan het allerhoogste niveau wilt voldoen, gaat dat ten koste van de klantervaring.
Maak gebruik van dit artikel of van andere documenten die wij hebben liggen om het gesprek aan te gaan over OcktoID. We hebben voor je op een rij gezet hoe OcktoID aan alle wetgeving voldoet. Die documenten helpen je om het gesprek aan te gaan.
Kunnen wij je helpen dit onderwerp te bespreken?
We beantwoorden je vragen graag.
Kunnen wij je helpen om dit onderwerp te bespreken met risicopartijen binnen jouw organisatie? Of heb je na dit artikel specifieke vragen over hoe OcktoID werkt of over de beveiliging ervan? We vertellen jou en de andere afdelingen binnen je organisatie er graag meer over.
Stuur ons je vraag via ons contactformulier en we beantwoorden deze zo snel mogelijk. Of plan een vrijblijvende kennismaking. Onze salesmanager Tim Bijvoet helpt je graag verder.
