Voor de tweede keer in korte tijd wordt aan de Hoge Raad een zaak voorgelegd waarin een natuurlijk persoon om principiële redenen weigert in te gaan op een verzoek op grond van de Wet ter voorkoming van witwassen en financiering van terrorisme (Wwft) van een financiële instelling die zijn/haar identiteit wil vaststellen.
De feiten
Op grond van artikel 38 Wwft is een financiële instelling verplicht de cliëntenonderzoeken te actualiseren die zij bij aanvang van een creditcardovereenkomst al op grond van artikel 3 Wwft had verricht. De financiële instelling moet cliënten identificeren, hun identiteit verifiëren en de daarbij verkregen gegevens bewaren. Zij heeft tot op zekere hoogte vrijheid in de wijze waarop zij deze identificatie uitvoert.[1]
Eiseres had sinds 2008 een creditcard bij International Card Services B.V. (ICS). In 2020 kreeg zij, net als andere klanten, het verzoek om zich opnieuw te identificeren. In het kader van een hernieuwd cliëntenonderzoek is eiseres gevraagd om een kopie van haar paspoort met pasfoto en een video-selfie op te sturen naar ICS. ICS heeft vervolgens de identificatie uitgevoerd, de ontvangen kopie van het identiteitsbewijs met pasfoto bewaard en daarop een watermerk aangebracht.[2]
Eiseres is het niet eens met de verwerking en bewaring van haar pasfoto door ICS en is hiertegen een procedure begonnen. De kantonrechter heeft haar vorderingen echter afgewezen en het Hof heeft het vonnis van de kantonrechter bekrachtigd. In cassatie voert eiseres aan dat het identificatieproces van ICS in strijd is met de AVG en de Wwft.[3]
In het eerste middel stelt zij dat het door ICS toegepaste (her)identificatieproces de verwerking van biometrische gegevens inhoudt, wat in beginsel verboden is op grond van artikel 9 van de AVG. Met het tweede middel betoogt zij dat artikel 33 van de Wwft financiële ondernemingen geen wettelijke grondslag biedt voor het bewaren van een kopie van een identiteitsbewijs met pasfoto.[4]
In deze blog wordt, naar aanleiding van het eerste middel, dieper ingegaan op het (her)identificatieproces en de vraag of dit proces de verwerking van biometrische gegevens inhoudt.
Wat betreft het tweede middel kan kort worden geconcludeerd dat de Vierde Anti-witwasrichtlijn lidstaten verplicht ervoor te zorgen dat instellingen een afschrift bewaren van het paspoort of een ander identiteitsbewijs dat is gebruikt bij de verificatie van de identiteit van een natuurlijk persoon. Naar het oordeel van de Hoge Raad betekent dit dat de bewaring een volledig afschrift moet zijn, waarbij de pasfoto op het identiteitsbewijs niet mag worden weggelakt of anderszins worden verwijderd. Zoals de Hoge Raad kort stelt: “Men herkent mensen vooral aan hun gezicht.”[5]
Het (her)identificatieproces
De Wwft verplicht financiële ondernemingen, waaronder ICS, tot actualisering van de cliëntenonderzoeken die zij bij de start van de creditcardovereenkomst al had uitgevoerd. In de wijze waarop de financiële onderneming aan deze verplichting vormgeeft, heeft zij enige vrijheid. Zij mag bij wijze van het uitgangspunt kiezen voor een online-identificatie. ICS heeft hierbij gekozen voor identificatie door middel van een kopie van een identiteitsbewijs met een foto en een selfie, die beide digitaal moeten worden aangeleverd.
Eiseres stelt dat de vastlegging van haar pasfoto neerkomt op een verwerking van biometrische gegevens die in beginsel verboden is op grond van de AVG, en dat ICS in geen geval een foto van haar mag bewaren, zelfs niet als onderdeel van een kopie van haar identiteitsbewijs.[6]
De verwerking van biometrische gegevens
De bescherming van persoonsgegevens is een grondrecht dat het recht op privacy en de bescherming van persoonlijke gegevens waarborgt. Volgens de Hoge Raad moet de verwerking van persoonsgegevens voldoen aan bepaalde beginselen en een toereikende grondslag hebben. Voor bijzondere categorieën persoonsgegevens, zoals biometrische gegevens, gelden aanvullende eisen, en verwerking ervan is in principe niet toegestaan.[7]
In dit arrest gaat het om gezichtsafbeeldingen. Of deze als biometrische gegevens worden aangemerkt, hangt af van het doel van de verwerking: de unieke identificatie van een persoon, in samenhang met de context van de unieke identificatie: door het gebruik van specifieke technische middelen. Alleen als het doel met specifieke technische middelen wordt bereikt, geldt een gezichtsafbeelding als biometrisch persoonsgegeven.[8]
Naar mijns inziens legt de Hoge Raad hiermee de nadruk op de context van het doel waarvoor de gezichtsafbeelding wordt gebruikt, en niet op de gezichtsafbeelding zelf. Dat er sprake is van biometrische kenmerken op een afbeelding, maakt het verwerken en opslaan ervan nog geen verwerking van biometrische gegevens. De technische toepassing waarmee de biometrische kenmerken van een natuurlijk persoon worden gemeten en verwerkt, maakt dat er sprake is van biometrische gegevens.
Het technische aspect als leidraad bij de bepaling of er sprake is van biometrische gegevens
De uitleg van de Hoge Raad sluit aan bij overweging 51 van de AVG, de memorie van toelichting bij de Uitvoeringswet AVG en de definitie van biometrische gegevens door de European Data Protection Board (EDPB).[9] De nadruk ligt daarbij op het technische aspect: alleen wanneer specifieke technische middelen worden gebruikt voor identificatie, is er sprake van biometrische gegevens. Omdat de verificatie door ICS niet softwarematig of met een ander technisch middel plaatsvindt, maar handmatig door een externe medewerker, is er geen sprake van de verwerking van biometrische persoonsgegevens.
De context van de verwerking boven het doel van de verwerking
Het bereiken van het doel op zich maakt aldus niet dat de verwerking van een gezichtsafbeelding, de verwerking van biometrische gegevens inhoudt. Alleen onder bepaalde omstandigheden, waaronder de verwerking met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijk persoon mogelijk maken, kunnen foto’s worden aangemerkt als biometrische gegevens.
Door de relevantie van de context van de verwerking, hoeft de verwerking van een gezichtsafbeelding alleen onder het verwerken van biometrische gegevens te vallen in het geval van verwerking met behulp van bepaalde technische middelen. Wat maakt dat bij een verwerking zoals die plaatsvindt bij het ICS, namelijk door middel van verificatie uitgevoerd door een werknemer van ICS, er geen sprake is van verwerking van biometrische gegevens. Dit was echter wel het geval geweest indien de verificatie niet plaatsvond via een werknemer, maar via bepaalde technische middelen.
Dit arrest geeft dus geen vrijbrief aan financiële instellingen om personen via een gezichtsafbeelding te identificeren. Het gaat om hetzelfde doel, maar de context van de verwerking – om tot dat doel te komen – is relevant. Financiële instellingen hebben tot op zekere hoogte vrijheid in de manier waarop zij cliëntonderzoeken actualiseren. Maar als identificatie via een gezichtsafbeelding plaatsvindt met behulp van technische middelen die de unieke identificatie van een natuurlijke persoon mogelijk maken, wordt dit beschouwd als de verwerking van bijzondere categorieën van persoonsgegevens. In dat geval is de uitzondering uit dit arrest niet meer van toepassing.
Voldoen aan de AVG kan een uitdaging zijn. Wij helpen je graag! Laat ons een privacy-inventarisatie uitvoeren en ontvang een praktische actielijst, zodat je direct zelf aan de slag kunt.
[1] Hoge Raad 21 februari 2025, ECLI:NL:PHR:2025:260, r.o. 5.4.
[2] Hoge Raad 21 februari 2025, ECLI:NL:PHR:2025:260, r.o. 1.1.
[3] Hoge Raad 21 februari 2025, ECLI:NL:PHR:2025:260, r.o. 1.2 – 1.3.
[4] Hoge Raad 21 februari 2025, ECLI:NL:PHR:2025:260, r.o. 1.4.
[5] Hoge Raad 21 februari 2025, ECLI:NL:PHR:2025:260, r.o. 4.47 – 4.51.
[6] Hoge Raad 21 februari 2025, ECLI:NL:PHR:2025:260, r.o. 3.1.
[7]Hoge Raad 21 februari 2025, ECLI:NL:PHR:2025:260, r.o. 4.10 – 4.12.
[8] Hoge Raad 21 februari 2025, ECLI:NL:PHR:2025:260, r.o. 4.18 – 4.19.
[9] Hoge Raad 21 februari 2025, ECLI:NL:PHR:2025:260, r.o. 4.21.
