EUDI-wallet: oplossing voor WWFT-identificaties?
Uitleg rondom de toekomst van digitaal identificeren
Donderdag 12 september 2024
Met de invoering van de eIDAS 2-regulatie en de komst van de Europese Digitale Identiteitswallet (EUDI-wallet), staat Europa aan de vooravond van een flinke ontwikkelingen rond digitale identificatie. De ontwikkelingen hebben het potentieel om processen zoals klantidentificaties en de naleving van de Wet ter voorkoming van witwassen en financieren van terrorisme (WWFT) te vereenvoudigen, terwijl processen tegelijkertijd beter voldoen aan de vereisten van de Algemene Verordening Gegevensbescherming (AVG). In dit artikel bespreken we hoe de EUDI-wallet kan bijdragen aan een oplossing voor efficiëntere en veiligere identificatie van Ultimate Beneficial Owners (UBO’s), en hoe privacy beter geborgd kan worden in de toekomst.
Wat is eIDAS 2?
De oorspronkelijke eIDAS-verordening (Electronic Identification, Authentication and Trust Services) werd in 2014 ingevoerd om elektronische identificatie en vertrouwensdiensten binnen de Europese Unie te reguleren. eIDAS 2, de herziening van deze verordening, heeft als doel een Europese Digitale Identiteit te creëren die voor iedereen toegankelijk is in de vorm van de EUDI-wallet.
Lees meer en download de eIDAS-whitepaper: eIDAS – whitepaper
Deze wallet is een veilige, digitale portemonnee (of beter gezegd: kaarthouder) waarin burgers en bedrijven hun identiteitsgegevens, diploma’s, certificaten en andere officiële gegevens kunnen opslaan en delen. Gebruikers hebben volledige controle over welke gegevens ze delen, en met wie. Dit biedt een hoger niveau van privacy en veiligheid dan traditionele identificatiemethoden.
Een ander belangrijk onderdeel van eIDAS (2) zijn de definitie van verschillende betrouwbaarheidsniveaus, ook wel “levels of assurance” genoemd. Dit zijn:
- Laag, voor basisidentificaties.
- Substantieel, waarbij strengere verificaties van de identiteit worden uitgevoerd.
- Hoog, dat het hoogste niveau van zekerheid biedt, met robuuste verificatieprocessen zoals biometrische checks en het uitlezen van de NFC-chip uit identiteitsdocumenten.
Deze hogere niveaus van zekerheid kunnen worden gebruikt in situaties waarin strikte verificatie vereist is, zoals bij UBO-identificatie en WWFT-compliance. Hiermee wordt de betrouwbaarheid van (digitale) identiteitscontroles aanzienlijk verbeterd.
UBO-identificatie en de WWFT
Voor accountants en financiële instellingen is klantidentificatie een essentiële stap om aan de eisen van de WWFT te voldoen. Dit houdt onder andere in dat ze de identiteit van de UBO’s (Ultimate Beneficial Owners) van een bedrijf moeten vaststellen om witwassen en terrorismefinanciering te voorkomen. Traditioneel omvat dit proces het opvragen en -in de praktijk vaak- bewaren van kopieën van identiteitsdocumenten, zoals paspoorten en identiteitskaarten, wat gevoelig kan zijn in het kader van de AVG.
Hier komt een belangrijk spanningsveld naar voren. Accountants die willen aantonen dat voldaan is aan de WWFT, voor toezicht en nalevering, bewaren voor dat doel regelmatig veel meer gegevens dan nodig (zoals kopieën van identiteitsdocumenten), terwijl de AVG daarentegen vereist dat alleen het minimum aan gegevens wordt verwerkt. Soms wordt dat opgelost door gegevens door te halen en onleesbaar te maken. Extra beveiliging blijft echter evident. De tegengestelde belangen creëren voor bedrijven de uitdaging om eenvoudig aan beide regels te voldoen.
De EUDI-wallet als oplossing
De introductie van de EUDI-wallet biedt een potentiële oplossing voor dit probleem. Met de wallet kunnen gebruikers enkel die gegevens delen die strikt noodzakelijk zijn voor een specifieke verificatie, zoals het verifiëren van de identiteit van een UBO. Hierdoor hoeven accountants en andere partijen geen kopieën van identiteitsbewijzen meer op te slaan, wat het risico op en bij ernstige datalekken en overtredingen van de AVG vermindert.
Bovendien maakt de selectieve gegevensdeling binnen de EUDI-wallet het mogelijk om alleen die informatie te verstrekken die relevant is voor de specifieke transactie. Bijvoorbeeld, voor UBO-verificatie zou een accountant via de wallet kunnen verifiëren of een persoon beschikt over geldige legitimatie en bewijs daarvan kunnen opslaan, zonder toegang te krijgen tot overbodige persoonsgegevens.
Voordelen t.a.v. de AVG
De EUDI-wallet is ontworpen met oog voor privacy, wat betekent dat de bescherming van persoonsgegevens in het ontwerp is geïntegreerd. Gebruikers hebben de controle over hun gegevens en kiezen zelf welke gegevens ze willen delen. Dit sluit naadloos aan op de minimale gegevensverwerking die de AVG vereist.
Voor organisaties die onder de WWFT vallen, zoals accountantskantoren en financiële instellingen, betekent dit dat ze een AVG-conforme ‘alternatieve’ manier hebben om te voldoen aan de eisen voor klantidentificatie. Ze hoeven niet langer overmatige persoonsgegevens op te slaan, en deze speciaal te beveiligen, wat hun aansprakelijkheid en risico’s op boetes vermindert, terwijl ze toch aan de verplichtingen van de WWFT voldoen. Bijvoorbeeld doordat alleen het transactiebewijs van een identificatieproces wordt opgeslagen.
Conclusie: beter voldoen aan beide richtlijnen
De komst van de EUDI-wallet in combinatie met de eIDAS 2-regulatie biedt een innovatieve oplossing voor de uitdagingen die gepaard gaan met klantidentificatie en naleving van de WWFT. Door enkel de noodzakelijke gegevens te delen en geen overmatige persoonsgegevens te verwerken, kunnen bedrijven eenvoudiger voldoen aan de AVG, terwijl ze tegelijkertijd voldoen aan hun wettelijke verplichtingen onder de WWFT. De balans tussen naleving en privacy wordt hiermee aanzienlijk verbeterd, wat uiteindelijk zowel bedrijven als individuen ten goede komt.
Het zal natuurlijk wel afwachten zijn bij controles in de praktijk, of de toetsende instanties en auditoren voldoende technische know-how hebben om de nieuwe identificatiemethoden de doorgronden en positief te oordelen. Het lijkt in alle gevallen beter dag de huidige praktijken.
—
Bronnen:
- Kenniscentrum Europa Decentraal, Verordening Europese digitale identiteit (eIDAS2.0) – Europa decentraal
- Autoriteit Persoonsgegevens, Handleiding Algemene verordening gegevensbescherming (autoriteitpersoonsgegevens.nl)
- Autoriteit Persoonsgegevens, Identificatie | Autoriteit Persoonsgegevens
- Wet ter voorkoming van witwassen en financieren van terrorisme, wetten.nl – Regeling – Wet ter voorkoming van witwassen en financieren van terrorisme – BWBR0024282 (overheid.nl)
- Richtsnoeren Identificatie en verificatie van persoonsgegevens (wetten.nl – Regeling – Richtsnoeren Identificatie en verificatie van persoonsgegevens – BWBR0033181 (overheid.nl))