Hoe BSN-nummers een miljardenindustrie gijzelen - Hyarchis
Welcome to the team post (8)
Opiniestukken

Hoe BSN-nummers een miljardenindustrie gijzelen

Gepubliceerd 2023-07-05
byHyarchis

Banken en andere financiële instellingen zitten in toenemende mate klem tussen de Wwft, die eist dat zij verregaande screening uitvoeren in het kader van Know-Your-Customer, en de AVG, die eist dat zij slechts een minimum aan gevoelige gegevens van klanten opslaan. Het resultaat: banken moeten van soms honderdduizenden dossiers uitpluizen of alle persoonsgegevens conform de regels worden bewaard.

Een recente uitspraak van Kifid leek de banken wat lucht te geven, maar die hoop werd al snel de kop ingedrukt. De boosdoener is het Burgerservicenummer (BSN). Dit nummer houdt de financiële sector al langer in haar greep en is onderwerp van verhitte discussie. Namelijk: bewaren of niet bewaren. Kifid sprak hierover begin dit jaar een bindend oordeel uit. Banken mogen het wel degelijk opvragen, vastleggen en bewaren maar een kopie van het ID-bewijs mag niet onbewerkt worden opgeslagen. Zulk koorddansen is kenmerkend voor de frictie tussen enerzijds een verscherping van de poortwachtersrol van financiële instellingen en anderzijds de toenemende privacybescherming van consumenten.

Vreugdesprong

Compliance-medewerkers die na het lezen van deze uitspraak wellicht een vreugdesprongetje maakten, stonden al snel weer met beide benen op de grond. Hoewel banken het BSN mogen blijven verwerken, moet de pasfoto wel altijd worden afgeschermd. Evenzo moet het document worden voorzien van een watermerk. De enige grond op basis waarvan banken het BSN mogen verwerken, is omdat zij wettelijk verplicht zijn om bij het verstrekken van informatie aan de Belastingdienst het BSN te vermelden. Hiernaast moeten zij vanwege het depositogarantiestelsel het BSN van hun rekeninghouders delen met De Nederlandsche Bank.

In veel andere gevallen mogen financiële dienstverleners het BSN helemaal niet in bezit hebben. Hypotheekverstrekkers bijvoorbeeld mogen pas over een BSN beschikken als de hypotheek definitief akkoord is. Dus zolang het aanbod in de offerte nog niet door de nieuwe klant is geaccepteerd, mag de kredietverstrekker het BSN van die mogelijk toekomstige klant in geen enkel geval verwerken. Zelfs niet als die daarvoor toestemming geeft. In de praktijk betekent dit dat consumenten eigenlijk zelf het BSN moeten doorkrassen voordat zij documenten met hypotheekverstrekkers delen. Brancheorganisaties roepen partijen in de loonaangifteketen dan ook op om documentatie in een variant met BSN en in een variant zonder BSN beschikbaar te stellen. Onder meer het UWV en Stichting Pensioenregister (SPR) zijn hier al toe overgegaan.

Legacydata

Maar dat is slechts een deel van het probleem. Want wat te doen met legacydata die zich reeds in een digitaal archief bevindt? In het digitale archief van financiële instellingen is decennia aan privacygevoelige data van klanten opgeslagen, waar de instellingen dus niet langer over mogen beschikken. Deze data moet dus onleesbaar worden gemaakt. Om dit allemaal handmatig te doorzoeken, zou een gemiddelde inspanning van zo’n tien minuten per klantdossier noodzakelijk zijn. Extrapoleer je dit naar het totaal van een kleine vijf miljoen hypotheeknemers in Nederland, dan lijkt handmatige verwerking geen optie. Echter, vanwege de beperkte beschikbaarheid van de benodigde technologie wordt dit door veel banken wel gezien als de enige oplossing. Als gevolg hiervan is er naar schatting van De Nederlandsche Bank ruim 20% van al het bankpersoneel actief op het gebied van compliance. 

De oplossing: Blurrify

Handmatig verwerken lijkt een onwerkbare oplossing. Niet alleen vanwege de tijd die het kost, maar vooral ook vanwege de beperkte betrouwbaarheid van het routinematige werk alsmede de frauderisico’s waaraan banken klanten blootstellen bij het handmatig laten doorlopen van hun meest gevoelige financiële gegevens. Om deze reden zoekt de financiële sector in toenemende mate naar geautomatiseerde oplossingen om te voldoen aan wet- en regelgeving. De markt voor deze oplossingen is inmiddels zelfs zo groot dat het een aparte naam heeft: regulatory technology (regtech). 

Eén van de spelers op deze markt is de Nederlandse fintech Hyarchis. Net na de introductie van de Algemene verordening gegevensbescherming (AVG) in 2018, heeft het al een applicatie ontwikkeld die voorziet in de eisen van de recente Kifid-uitspraak. Adriaan Hoogduijn, CEO van Hyarchis, stond aan de basis van deze applicatie en zegt hierover: “Vanaf de introductie van de AVG hebben we de ietwat onwerkelijke discussie over het BSN van dichtbij gevolgd. Zo’n 85% van alle Nederlandse hypotheken staat in onze systemen en ondanks de verdeeldheid onder hypotheekverstrekkers hebben wij op basis van onze interpretatie van de AVG besloten om een oplossing te ontwikkelen voor naleving hiervan – Hyarchis Blurrify. De Europese Unie heeft dit gesteund met een aanzienlijke subsidie waarmee we in samenwerking met enkele Europese universiteiten een AI-gedreven applicatie hebben ontwikkeld die inmiddels in Nederland, België en Duitsland wordt ingezet om te voldoen aan Europese privacywetgeving.”

Geschreven door
Hyarchis
Hyarchis
One Step Ahead

Meer interessante posts

Welcome to the team post (1)
2024-03-06blog
Remediation: de sluitsteen van een goed KYC-beleid

Remediation is de laatste van de drie grote bouwstenen van een goed KYC beleid....

Lees verder
Welcome to the team post (1)
2024-02-23blog
Identity wallets: mooie toekomstmuziek

De Europese Unie maakt zich zorgen over de toenemende macht van grote technologiebedrijven zoals Google, Apple en Amazon. En terecht:...

Lees verder
Final
2024-02-22blog
Monitoring: het hart van een goed Customer Due Diligence beleid

De Wwft verplicht financiële instellingen om klanten te onderwerpen aan een periodieke controle om het gedrag van klanten in de...

Lees verder

Wil je meer weten? Schrijf je in voor onze maandelijkse nieuwsbrief en blijf één stap voor.

Contactinformatie