Mypos schrijft eigen privacywet

Vaste klanten worden niet vertrouwd

Na drie jaar bij Mypos een pinautomaat service te hebben betrokken krijg ik eind juni dit jaar het verzoek om een nieuwe kopie-ID aan te leveren. Begrijpelijk en op zich geen enkel probleem. Banken moeten nu eenmaal kunnen bewijzen dat u bent wie u zegt en dit ook nog kunnen opslaan in het geval u toch nog een witwasser of crimineel blijkt te zijn. Toch verbaast het me omdat ik vorig jaar ook al een upload heb gedaan?

Mypos dreigt

Met de boete van € 200 in gedachten, die Mypos me onder bepaalde omstandigheden kan opleggen, maak ik een foto van mijn ID en plaats ik een watermerk over de kopie. Hiervoor maak ik gebruik van de kopie-ID app, uitgegeven door de overheid. Die heeft er denk ik dan misschien wel een beetje verstand van. Deze upload ik in de beveiligde omgeving van Mypos. Mailen is niet echt verstandig meer tegenwoordig, zeker als het gaat om dit soort gevoelige documenten. Op 12 september krijg ik de melding dat mijn kopie ID niet voldoet. Of ik een nieuwe scan wil maken…

Kopie-ID niet goedgekeurd

Ik klim in de telefoon en geef aan dat ik dit wel wil doen, maar niet zonder een watermerk. De in eerste instantie vriendelijk overkomende dame van Mypos probeert me gerust te stellen dat zij er alles aan doen om mijn onbeschermde document op een veilige plek neer te zetten binnen hun systeem. Dit lukt haar helaas niet. Hackers worden nu eenmaal steeds slimmer en daarom wil ik mijn document beveiligen in het geval van een datalek. De  dame wordt ineens onvriendelijk en serveert me bits de vraag wie ik wel denk dat Mypos is!?

“Een bank”, antwoord ik gedwee. “Maar ook banken hebben een watermerk te accepteren” voeg ik daar aan toe. Ik geef aan dat de Triodos bank wel een watermerk accepteert waarop ik het antwoord krijg dat de Triodos bank geen Europese organisatie is… Ik vraag naar het betreffende document waarop ze haar stelling baseert en ze belooft me dit te mailen. Ik wacht helaas nog steeds op dit document dat er waarschijnlijk nooit gaat komen.

Snel krijg ik een mail met de herhaalde mantra van de dame. Het lijkt wel alsof ze beiden in het neurale netwerk van de Mypos servers zijn opgenomen:

Autoriteit Persoonsgegevens

Ik ga naar de website van de Autoriteit Persoonsgegevens en maak een screenshot van de tekst waarin staat dat elk bedrijf een watermerk dient te accepteren van mijn kopie-ID, op voorwaarde dat zowel het BSN nummer als de foto duidelijk leesbaar moeten zijn. Vervolgens mail ik deze afbeelding samen met de betreffende link naar Mypos:

Onduidelijke of geen klachtenprocedure

Tegen beter weten in dien ik  in mijn portal ook een klacht in. Wat er met deze klacht gebeurt en wie hiervoor verantwoordelijk is is onbekend: een duidelijke klachtenprocedure lijkt te ontbreken. Als klant ontvang je klaarblijkelijk alleen de informatie die Mypos jou wil geven.

“Inactivity fee” als verdienmodel?

Om toch een beetje mee te bewegen maak ik een foto van mijn ID, plaats ik hier een subtiel watermerk overheen en upload ik deze in de Mypos omgeving. Als Mypos hier geen genoegen mee neemt, dan weet ik ik niet meer.

De volgende dag bel ik nogmaals met een Mypos medewerker, dit maal vanwege de in het overzicht dubbel voorkomende “inactivity fee” die mijn rekening bij Mypos leeg plundert door er elke maand € 10 van af te schrijven totdat de bodem is bereikt of ik de rekening weer ga gebruiken. Bijzonder, omdat een andere collega me kort daarvoor heeft uitgelegd dat deze fee van € 10 maar eens per jaar wordt berekend. Ik vraag me af of deze collega de enige collega was die me écht ter wille wilde zijn..

Ik vraag nogmaals naar het document waarin staat dat Mypos een onbeschreven kopie-ID mag vragen en leg uit dat ik maar een heel subtiel watermerk wil plaatsen om mijn gegevens te beschermen. Ze komt heel begripvol over en ik verwijs haar naar mijn inmiddels nieuwe upload. Uiteraard mét een subtiel watermerk.

Mypos wil het gewoon niet begrijpen

De volgende dag ontvang ik een bericht waarbij de moed me in mijn schoenen zakt:

De maat is vol. Ik ga het duidelijk nooit winnen van Mypos. Snel maak ik mijn rekening leeg, reset ik de duurbetaalde pinautomaat om deze op een later moment maar op internet aan te bieden en stuur ik een mail naar Mypos om mijn rekening te beëindigen zodat een derde “inactivity fee” boete geen impact meer heeft op mijn saldo.

Conclusie

Ik denk terug aan mijn aanmelding bij Mypos enkele jaren geleden waarbij ik de staccato en klantonvriendelijke benadering van de alleen Engels sprekende Mypos medewerkers moest ondergaan. In een maximaal drie minuten durende “Yes! drillmeister Yes!” chat, moest ik me onderwerpen aan een op het Oostblok lijkende ondervraging. Ook werd door de knorrige medewerker op een erg onpersoonlijke en dwingende manier een foto gemaakt van mijn ID en gezicht. Daar werk ik nu niet meer aan mee..

Na al mijn pogingen als “mens” te communiceren met een onvriendelijke organisatie dringt het eindelijk tot me door: sommige banken zijn gewoon niet capabel om met “lastige” mensen om te gaan of willen het gewoon niet begrijpen.

Mypos, denk ik, staat klaarblijkelijk boven de wet. Sterker nog: Ze schrijft zelfs een nieuwe en in mijn beleving illegale “privacywet”, waarnaar alle medewerkers verwijzen die je vraagt naar een watermerk op je eigen ID. Het wordt tijd voor een aangepaste wetgeving die dit soort malafide privacy-wanpraktijken van Mypos een halt toeroept.

Ik doe het voorlopig maar zonder pinautomaat….

 

REACTIE van EC.Europa.eu

Geachte heer/mevrouw,

Hieronder vindt u het antwoord op uw adviesaanvraag. Ons onafhankelijk advies kan niet beschouwd worden als de mening van de Europese Commissie, een andere EU-instelling of hun personeel, en is niet bindend voor de Europese Commissie of andere EU- of nationale instellingen.

Geachte heer,

Dank u voor uw vraag. De Europese wetgeving zegt hier het volgende over: de identificatie van de cliënt en de verificatie van zijn identiteit moet gebeuren op basis van documenten, gegevens of informatie uit een betrouwbare en onafhankelijke bron, met als doel dat de melding plichtige entiteit (in dit geval Mypos) ervan overtuigd is dat zij weet wie de uiteindelijk begunstigde is. (Zie volledige tekst onderaan dit antwoord).

Deze Europese wetgeving is geïmplementeerd in de Nederlandse Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft).

Banken en andere financiële dienstverleners zijn dus verplicht de identiteit van hun klanten vast te stellen. Om te bewijzen dat ze aan deze plicht hebben voldaan, mogen deze organisaties een kopie of scan van uw identiteitsbewijs maken. Maar ze zijn niet verplicht om een kopie of een scan van uw identiteitsbewijs te maken; ze mogen ook op andere wijze aantonen dat ze aan deze verplichting hebben voldaan.

Ze zijn alleen verplicht de gegevens van uw identiteitsbewijs te controleren en vast te leggen.

Bovendien heeft u altijd het recht om een tekst door de kopie van uw identiteitsbewijs heen te schrijven. U kunt dan een tekst door de kopie schrijven zoals: Kopie voor [naam bank] van [datum] . Zo beschermt u de kopie tegen identiteitsfraude, want de volledige kopie zal niet zomaar voor een ander doel gebruikt kunnen worden.

Let op: Zorg er wel voor dat alle persoonsgegevens op de kopie van uw identiteitsbewijs leesbaar moeten blijven. Zo moet ook uw foto voldoende zichtbaar zijn om u te kunnen identificeren. Dat wat u op de kopie schrijft mag dus geen afbreuk doen aan de identificerende functie van de kopie. Gebruik dus bijvoorbeeld een dunne pen en geen dikke stift voor het beschrijven van de kopie.

Voor de identificatieplicht uit de Wwft mogen banken, verzekeraars en andere in de Wwft aangewezen partijen uw BSN niet verwerken. Ook met een afgeschermde kopie van uw identiteitsbewijs kunnen deze partijen namelijk aantonen dat ze aan hun identificatieplicht uit de Wwft voldoen.

Banken kunnen wel voor andere fiscale doeleinden verplicht zijn het BSN van een klant te verwerken, maar dit hoeft dus niet aan de hand van een originele kopie van het identeitsbewijs.

Voor meer informatie zie ook https://www.rijksoverheid.nl/onderwerpen/bescherming-van-consumenten/vraag-en-antwoord/ben-ik-verplicht-om-een-kopie-van-mijn-identiteitsbewijs-te-geven-aan-een-bedrijf

U kan voor uw bank ook altijd gebruik maken van de KopieID app van de Nederlandse overheid. Zie ook: https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/veilige-kopie-identiteitsbewijs

Kortom, Mypos kan zich niet beroepen op Europese wetgeving en ook niet op Nederlandse wetgeving met hun eis voor een ongemerkte kopie van uw identiteitsbewijs.

Europese wetgeving:
A) Verordening (EU) 2015/847 betreffende bij geldovermakingen te voegen informatie, Artikel 4,

Bij geldovermakingen te voegen informatie:

4. Alvorens de geldmiddelen over te maken, verifieert de betalingsdienstaanbieder van de betaler de juistheid van de in lid 1 bedoelde informatie op basis van documenten, gegevens of informatie uit betrouwbare en onafhankelijke bron.

5. De verificatie als bedoeld in lid 4 bedoeld, wordt geacht te zijn verricht wanneer:

a) de identiteit van de betaler is geverifieerd overeenkomstig artikel 13 van Richtlijn (EU) 2015/849 en de bij die verificatie verkregen informatie is bewaard overeenkomstig artikel 40 van die richtlijn.

Verordening (EU) 2015/847 betreffende bij geldovermakingen te voegen informatie – https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32015R0847&from=nl

B) Richtlijn (EU) 2015/849 inzake de voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld of terrorismefinanciering, Artikel 13,

1. De cliëntenonderzoeksmaatregelen omvatten:

a) de identificatie van de cliënt en de verificatie van zijn identiteit op basis van documenten, gegevens of informatie uit een betrouwbare en onafhankelijke bron;

b) de identificatie van de uiteindelijk begunstigde en het nemen van redelijke maatregelen om de identiteit van die persoon te verifiëren, zodat de meldingsplichtige entiteit ervan overtuigd is dat zij weet wie de uiteindelijk begunstigde is, en, wanneer het rechtspersonen, trusts, vennootschappen, stichtingen en soortgelijke juridische constructies betreft, het nemen van redelijke maatregelen om inzicht te verwerven in de eigendoms- en zeggenschapsstructuur van de cliënt;

Richtlijn (EU) 2015/849 inzake de voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld of terrorismefinanciering – https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32015L0849&from=NL

Nederlandse wetgeving:
Wet ter voorkoming van witwassen en financieren van terrorisme – https://wetten.overheid.nl/BWBR0024282/2020-07-10

We hopen dat dit uw vraag beantwoord.

Heeft u een nieuwe aanvraag, aanvullende vragen over deze zaak of wilt u ons aanvullende informatie geven, neem dan gerust nog een keer contact met ons op. Gebruik hiervoor het YEA-webformulier:
http://ec.europa.eu/eu-rights/enquiry-complaint-form/home?languageCode=nl

In het geval van een vervolg op een eerdere aanvraag, wilt u ons dan ook het referentienummer van de oorspronkelijke zaak geven.

Met vriendelijke groet,
Uw Europa Advies

 

Noot: door de vele mailwisselingen en telefoongesprekken met Mypos kan het zijn dat de chronologie niet geheel correct is.