Is een digitale ID-check bij de bank verplicht?

Digitale ID-check ASN bank

De laatste tijd hoor ik van steeds meer mensen dat hun bank vraagt om een digitale ID-check. Daarbij moet je via een app de chip van je paspoort laten uitlezen en een selfie maken voor gezichtsherkenning. Dat riep bij mij de vraag op: is een digitale ID-check bij de bank eigenlijk verplicht? 
En omdat me dat een ongemakkelijk gevoel gaf, ben ik dit gaan uitzoeken.

Waarom ik dit ben gaan onderzoeken

Mijn man kreeg berichten van de ASN Bank met de melding dat hij een ID-check zou moeten doen. Eerst dacht ik dat het spam was. Maar er volgde een tweede mail en daarna een derde.
Het viel me op dat de taal in de mail steeds ‘dreigender’ werd en bij de derde mail gingen er belletjes bij me rinkelen. Er kwam namelijk een waarschuwing over wat er zou gebeuren als hij de digitale ID-check niet zouden uitvoeren. Er werd zelfs gesproken over het blokkeren van toegang tot onze rekening.
En zelfs voor mij zou die blokkering dan gelden, ondanks dat mijn eigen identificatie wel correct was geregistreerd.

Wat voor ons wringt, is dat de bank bij weigering meteen zulke zware maatregelen aankondigt: geen toegang meer tot internetbankieren, geen betalingen kunnen doen en uiteindelijk zelfs het risico op opzegging van de klantrelatie.

Dat is opvallend, omdat:

• onze identiteit al gecontroleerd en bevestigd is bij het filiaal;

• fysieke legitimatie volgens de wet gewoon voldoende blijft;

• het probleem dus niet ligt bij identificatie, maar bij de gekozen digitale methode.

Door toch zulke vergaande stappen te koppelen aan het niet gebruiken van biometrische technieken, worden klanten feitelijk behandeld alsof er een risico bestaat op witwassen of fraude, terwijl daar in werkelijkheid geen sprake van is.

Wij vinden dat niet in verhouding staan tot het doel. De wet vraagt om identificatie, niet om verplichte biometrie. En het blokkeren van toegang tot je eigen geld is een heel zwaar middel, zeker wanneer er een lichter én volledig wettig alternatief beschikbaar is: fysieke identificatie.

Mijn ervaring bij het bankkantoor

Omdat het me niet lekker zat, besloten mijn man en ik naar het filiaal van de ASN bank te gaan om eens na te vragen of wij onze ID ook konden verifiëren door op het kantoor ons paspoort te tonen. Om mee te kunnen kijken naar onze gegevens, kon ik me in het filiaal identificeren met mijn rijbewijs, zonder digitale scan. Dit laat dus zien dat fysieke legitimatie voldoende kan zijn, zonder biometrische gegevens en zelfs met rijbewijs.
De medewerker kon daarmee onze gegevens controleren en bevestigen. Mijn man en zoon die ook aanwezig waren, hoefden zich niet te identificeren voordat er gegevens uit hun systeem gedeeld en bevestigd werden.

Tijdens het gesprek vroeg ik hier op door, want nu zij toch wisten dat wij het écht waren, zou de ID-check toch bevestigd kunnen worden? Echter, zo werd aangegeven, het ging echt om de facial recognition en daarom dus de scan van het paspoort en de selfie.
Wij gaven aan daar niet mee akkoord te gaan, waarop we het advies kregen om een klacht in te dienen.

De uiterste datum voor de ID-check bleek dan uitgesteld te kunnen worden, zodat we wat meer tijd zouden hebben om e.e.a. uit te zoeken. (Uitstel mag 3 keer één maand).

Om eens te vragen hoe anderen hiermee omgingen schreef ik een post op Facebook, waar veel reacties opkwamen.

Waarom dit onderwerp mij raakt

Zoals ik in mijn Facebook bericht ook schreef: ik ben niet tegen identificeren. Ik ben in dit geval tegen de manier waarop.

We leven in een tijd waarin steeds meer processen digitaal worden. Juist daarom vind ik het belangrijk om te blijven vragen:

• welke gegevens worden verwerkt?

• waar komen mijn gegevens terecht?

• is dit echt noodzakelijk om het digitaal te doen en wat is het risico m.b.t bijvoorbeeld het hacken of lekken van gegevens?

• welke keuzevrijheid heb ik nog?

• wat gebeurt er als iemand niet meedoet en hoever mag een bank hierin gaan? Ik ben immers klant bij een bank, toch?

En uiteraard kijkend naar het grote geheel van de digitalisering in de maatschappij: waar leidt dit toe? En hoe gaat de maatschappij er voor onze kinderen uitzien als wij nu instemmen met wetten en kromme regels die van alle kanten opgelegd worden? 

Wat andere delen en wat de overheid hierover zegt

Ondertussen ging ik op zoek naar meer informatie. Vanuit het facebook bericht kreeg ik verschillende dingen aangereikt.

Ik deel het hier graag, want wellicht hebben meer mensen hier wat aan:

• uitgebreide vraag en antwoord over dit onderwerp op security.nl (Ik heb inmiddels een update bij hen aangevraagd.)
• Privacy First verzoekt om aanpassing identificatie
• In mei 2025 schreef minister Eelco Heinen (Financiën) in een Kamerbrief waarin staat: Dit ingrijpen heeft geleid tot een overreactie, zowel bij de sector als bij de toezichthouders. De anti-witwasaanpak is daardoor in de praktijk doorgeslagen, met negatieve gevolgen voor burgers en ondernemers. Er zijn veel voorbeelden waaruit blijkt dat de inzet van banken disproportioneel uitpakt voor klanten.

Op de website van de Rijksoverheid staat dat banken niet verplicht zijn om een kopie of scan van een identiteitsbewijs te maken of te bewaren. Ze mogen wel controleren of de gegevens kloppen, maar dat betekent, volgens mij, niet automatisch dat een digitale scan de enige manier is. (klik op onderstaande afbeeldingen om naar de site van de Rijksoverheid te gaan).

Mijn klachtenbrief

Omdat ik van de ASN medewerker het advies kreeg een klacht in te dienen heb ik dat gedaan. Ik deel mijn correspondentie hieronder, omdat ik van verschillende mensen vragen kreeg hierover. Je mag mijn teksten gebruiken ter inspiratie en aanpassen aan je eigen situatie.

• Klacht over ID-check bank

• brief Functionaris Gegevensbescherming ivm ID-check bank

• Brief naar Autoriteit Persoonsgegevens

• contact belastingdienst ivm ID-check bank (dit naar aanleiding van het bericht dat ik vond in het document dat ik eerder deelde van security.nl)

NB. Bovenstaande brieven zijn geschreven vóórdat ik de uitvoeringsregeling erbij pakte en me daar verder in verdiepte. Hieronder ga ik daar verder op in. Onder het kopje ‘UPDATE INFO’ vind je de meest recente pdf, waarin ik alle tot nu toe gevonden info samengevat heb. Neem, waar nodig, die info dus ook mee in het schrijven van jouw eigen brieven.

wat zegt de wet precies over identificatie?

Na contact met mijn rechtsbijstandverzekering ben ik verder in de wet- en regelgeving rond de digitale ID-check bij banken gedoken. De vraag was: mag een bank zelf bepalen dat alleen een digitale ID-check voldoende is, of is fysieke identificatie ook gewoon goed? 

In artikel 3 lid 2 van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) staat beschreven wat het zogeheten cliëntenonderzoek moet opleveren: de bank moet de cliënt kunnen identificeren en de identiteit verifiëren, de uiteindelijk belanghebbende (UBO) achterhalen, het doel en de aard van de relatie vaststellen en de relatie en transacties blijven controleren. De wet zegt op dit punt nog niets over hoe dat precies moet gebeuren.

De uitwerking van de middelen voor identificatie en verificatie staat in lagere regelgeving. In artikel 4 van de Uitvoeringsregeling Wwft wordt genoemd dat de identiteit van een natuurlijk persoon onder andere mag worden geverifieerd met een paspoort, identiteitskaart of rijbewijs. Met andere woorden: fysieke identificatie met een officieel document voldoet aan de wettelijke eisen.

Daarmee wordt voor mij duidelijk dat een digitale ID-check met paspoortchip en gezichtsherkenning geen wettelijke verplichting is vanuit Wwft, maar een keuze van de bank. Fysieke identificatie in het filiaal past gewoon binnen de wet. Deze informatie heb ik uiteraard ook meegenomen in communicatie met de bank.

Hoe zit het met privacy en de AVG bij de digitale ID-check?

Naast de Wwft speelt ook de privacywet (AVG) een belangrijke rol bij de digitale ID-check die banken vragen. De AVG bepaalt namelijk welke persoonsgegevens verwerkt mogen worden, voor welk doel, en onder welke voorwaarden.

Welke gegevens vallen hieronder?

Bij een digitale ID-check worden vaak extra gegevens verwerkt, zoals:

• het uitlezen van de chip in het paspoort

• een selfie of gezichtsherkenning

• verificatie via biometrische kenmerken

Onder de AVG worden biometrische gegevens gezien als bijzondere persoonsgegevens, waarvoor strengere regels gelden.

Wanneer mag een bank biometrische gegevens verwerken?

Dat mag alleen wanneer:

• er een duidelijke wettelijke verplichting bestaat, óf

• er vrij gegeven toestemming is

Toestemming is volgens de AVG alleen geldig wanneer iemand:

• echt kan kiezen

• géén nadelige gevolgen ervaart bij weigering

• niet onder druk wordt gezet

• toegang behoudt tot essentiële voorzieningen

Wat als weigeren betekent dat je geen toegang krijgt tot je rekening?

Dan is volgens de AVG geen sprake van “vrij gegeven toestemming”. In dat geval mag biometrische verwerking niet worden afgedwongen.

Waarom dit onderdeel belangrijk is

Omdat fysieke identificatie met paspoort, identiteitskaart of rijbewijs volgens de Uitvoeringsregeling Wwft voldoende is, wordt de vraag relevant of digitale biometrische verificatie:

• noodzakelijk is;

• proportioneel is;

• én rechtmatig is.

Daarnaast brengt de verwerking van biometrische gegevens extra risico’s met zich mee, omdat dit tot de meest gevoelige categorie persoonsgegevens behoort. Organisaties zijn daarom niet alleen verplicht om een rechtsgrond te hebben, maar moeten ook passende beveiligingsmaatregelen treffen en mogen zulke gegevens alleen verwerken wanneer dit strikt noodzakelijk is, transparant gebeurt en met duidelijke voorwaarden en waarborgen.

Het gaat daarbij niet alleen om het bewaren van deze gegevens, maar ook om de manier waarop ze tijdens het hele proces worden verwerkt, verzonden en geanalyseerd. Ook die stappen vallen volledig onder de AVG en moeten noodzakelijk en goed beveiligd zijn.

Wanneer de digitale ID-check via een smartphone-app wordt uitgevoerd, gebeurt een deel van de verwerking bovendien in een omgeving die een organisatie niet volledig kan controleren. Een eigen telefoon maakt gebruik van openbare netwerken, bevat uiteenlopende apps en kan nooit dezelfde afgeschermde beveiliging bieden als een gecontroleerd systeem.

Zorgplicht van banken

Naast de Wwft en de AVG speelt ook de zorgplicht van de bank een belangrijke rol.
Deze zorgplicht is door de Hoge Raad bevestigd in het arrest ING/Bera Holding (HR 9 januari 1998).

De kern daarvan is dat een bank:

• zorgvuldig moet handelen richting haar klanten,

• de gevolgen van maatregelen moet afwegen,

• geen zwaardere middelen mag inzetten dan nodig,

• en consumenten moet beschermen tegen onnodige of buitensporige risico’s.

In het kader van de digitale ID-check betekent dit dat een bank moet kunnen uitleggen waarom een ingrijpende maatregel – zoals blokkeren van toegang tot het eigen geld – noodzakelijk is, terwijl fysieke identificatie wettelijk voldoende is.

Contact ASN en rechtsbijstand (17-12-2025)

Ik heb vandaag contact gehad met ASN en met mijn rechtsbijstandsverzekeraar. ASN gaf aan dat de medewerker die mijn klacht behandelt momenteel afwezig is. Wel is mij toegezegd dat ik per e-mail bevestiging zal ontvangen dat mijn rekening in ieder geval vandaag en gedurende de verdere behandeling van de klacht niet wordt geblokkeerd (deze bevestiging heb ik op dit moment nog niet ontvangen).

De rechtsbijstandsverzekeraar heeft aangegeven dat uit bestaande jurisprudentie volgt dat banken binnen de geldende wetgeving beleidsvrijheid hebben bij de inrichting van hun her-identificatieproces. De daarbij aangehaalde jurisprudentie heb ik per e-mail ontvangen.

Ik heb inmiddels inhoudelijk gereageerd richting de rechtsbijstand, omdat ik een aantal punten en aannames nadere verduidelijking vind vragen, met name waar het gaat om de gehanteerde jurisprudentie, proportionaliteit, de AVG en de beleidsruimte die banken claimen.

Zoals eerder genoemd wacht ik daarnaast de inhoudelijke reactie van ASN op mijn bezwaarschrift af. Zodra ik die heb ontvangen, update ik deze pagina. In telefonisch contact met ASN klachtafhandeling is op 22 december aangegeven dat onze eerder genoemde termijn voor de ID-check voorlopig is opgeheven en dat er nu wordt gekeken naar alternatieven. ASN heeft toegezegd mijn bezwaarschrift zo spoedig mogelijk schriftelijk te beantwoorden. Zodra die reactie is ontvangen, volgt een verdere update hier op de webpagina.

Update – 8 januari 2026

Op 7 januari 2026 ontving ik de inhoudelijke reactie van ASN op mijn bezwaar.

Positief nieuws: ASN geeft aan dat er een alternatief mogelijk is voor (her)identificatie via de AMP-groep zónder gezichtsscan. Daarbij schrijft ASN ook dat er géén vingerafdrukken worden uitgelezen en dat er geen biometrisch profiel wordt opgebouwd.

Tegelijk blijven er voor mij belangrijke vragen open, voordat ik kan bepalen wat een zorgvuldige vervolgstap is. Het gaat vooral om:

• Waarom identificatie op een ASN-kantoor niet mogelijk is. Als ik met mijn paspoort fysiek verschijn, is mijn identiteit onomstotelijk vast te stellen, zonder extra digitale routes of externe partijen.

• De NFC-chip: wanneer wordt die wel/niet gebruikt? Is dat optioneel?

• Welke gegevens worden precies verwerkt en vastgelegd (en door wie), en wat zijn de bewaartermijnen?

• Veiligheid en verantwoordelijkheid: hoe wordt mijn informatie beschermd, en wie is waarvoor aansprakelijk als er iets misgaat?

• Juridische basis: het is mij nog niet duidelijk op welke juridische grondslag ASN bepaalde keuzes baseert, en hoe de noodzaak en proportionaliteit daarvan zijn onderbouwd.

ASN noemt daarnaast een termijn tot 7 februari 2026, met de mogelijkheid dat er (opnieuw) beperkingen/blokkades volgen als de identificatie dan niet is afgerond. Ik heb ASN inmiddels schriftelijk gevraagd om opschorting van die termijn zolang ik mijn vragen uitwerk.
Update 12-1-2026: de ASN heeft naar aanleiding van dit verzoek de datum opgschoven naar 7 april 2026. Daarbij hebben ze ook bevestigd dat er geen blokkering van onze rekening plaats zal vinden, zolang we constructief met elkaar in overleg zijn.

Update 13-01-2026 – bundelen van ervaringen

Ik heb inmiddels contact gehad met Ellen Timmer (juridisch adviseur), Human Rights in Finance (HRIF). Zij hebben ook contact met burgerrechtenorganisatie Privacy First, die al langer bezig is met bewustwording een aandacht voor (digitale) identificatie in de financiële sector.

Wanneer jij mee wilt helpen aan deze bewustwording, kun je jouw zorg kenbaar maken en bijdragen aan een breder draagvlak. Je kunt jouw ervaring melden bij Privacy First via: info@privacyfirst.nl.

Zowel Human Rights in Finance als Ellen Timmer hebben over de heridentificatie recent een artikel geplaatst. In dit  laatste artikel kun je ook meer lezen over het werk van Privacy First.  (Klik op de linkjes om de artikelen te lezen.)

Update 20-01-2026 – vervolgbrief ASN

Naar aanleiding van de reactie van ASN op mijn bezwaarschrift en het aanbieden van een alternatief voor de ID-check (zonder gezichtsscan en zonder opbouw van een biometrisch profiel) heb ik een vervolgbrief gestuurd met vragen.

• Vervolgvragen aan ASN naar aanleiding van hun reactie op mijn bezwaarschrift (bezwaarschrift d.d. 5 december 2025).

UPDATE INFO

Hieronder de meest recente pdf waarin ik (via chatGPT) alle info die ik tot nu toe gevonden heb puntsgewijs weergeef. Daarnaast een overzicht van verschillende ervaringen van klanten. Gebruik het waar nodig is om eigen correspondentie aan te vullen en vooral jouw vragen te stellen aan de bank.

Via onderstaande links kun je de pdf’s openen:
– Samenvatting vanuit wettelijk kader als aanvulling klacht ASN (2.0). (update 2-12-2025, 23.41 uur)
– Klantenervaringen ID-check ASN (2.0) (update 15-12-2025, 11.22 uur)

Jurisprudentie

De jurisprudentie waar de rechtsbijstandsverzekeraar naar verwijst, is hier te raadplegen via de website van Kifid: uitspraak 2025-0060.

Ik deel deze verwijzing ter informatie, omdat deze uitspraak in de praktijk wordt gebruikt bij de juridische beoordeling van digitale her-identificatie door banken.

Update 13-01-2026 – nieuwe info (aantoonplicht & datalekken)

– Waarom banken gegevens willen bewaren (“bewijs”)

Wat ik nu beter begin te begrijpen: banken moeten niet alleen klanten identificeren, maar ook kunnen aantonen dat ze dat hebben gedaan. Met andere woorden: als een toezichthouder controleert, moet de bank kunnen laten zien dat de identificatie/verificatie is uitgevoerd. Daarom willen banken gegevens vastleggen en soms ook een kopie van een identiteitsbewijs bewaren. (lees dit artikel voor meer informatie hierover)

Voor mij zit daar meteen een spanning: hoe meer (kopieën van) persoonsgegevens ergens opgeslagen worden of via meerdere partijen lopen, hoe groter het risico bij misbruik of een datalek, waar ik als klant vooral de gevolgen draag.

– Datalekken: hoor je dat altijd als klant?

In de privacywetgeving bestaat een uitzondering voor financiële ondernemingen waardoor de plicht om betrokkenen (klanten) te informeren over een datalek anders kan liggen dan je zou verwachten. Er wordt vaak verwezen naar artikel 42 UAVG als uitzonderingsbepaling op de meldplicht aan betrokkene.
Ook op de site van AP is te lezen dat er een uitzondering voor het melden van een datalek richting slachtoffers geldt voor financiële instellingen als bedoeld in de Wet op het financieel toezicht (Wft).

Dit maakt mijn vragen over beveiliging, ketenpartijen en bewaartermijnen extra belangrijk. En het roept bij mij ook de vraag op: als identificatie bij veel mensen via dezelfde apps/bedrijven gaat, wordt dat dan niet extra kwetsbaar voor criminelen?
En hoe kan ik het risico goed inschatten als ik mogelijk niet gemeld wordt wanneer (en hoe vaak) er sprake is van een datalek bij financiële instellingen?

Ter verduidelijking m.b.t. gebruikte afkortingen in de documenten:
• Wwft: Wet ter voorkoming van witwassen en financieren van terrorisme
(Wet die de identificatieplicht voor banken regelt)
• UR Wwft: Uitvoeringsregeling Wet ter voorkoming van witwassen en financieren van terrorisme 2018
(Regeling die precies bepaalt welke documenten gebruikt mogen worden voor verificatie)
• AVG: Algemene verordening gegevensbescherming 
(Europese privacywetgeving voor verwerking van persoonsgegevens)
• UAVG: Uitvoeringswet Algemene verordening gegevensbescherming
(Nederlandse aanvullingswet bij de AVG)
• EP EVRM: Eerste Protocol bij het Europees Verdrag voor de Rechten van de Mens – Artikel 1
(Bescherming van eigendomsrecht)
• HR: Hoge Raad

Opmerking over het aanmelden voor mijn nieuwsbrief

Ik merk dat bezoekers van deze pagina zich soms inschrijven voor mijn algemene nieuwsbrief.
Uiteraard ben je altijd welkom, maar graag wil ik even wat verduidelijken:
die nieuwsbrief gaat over mijn werk, mijn blogs en de informatie die ik deel rondom Kangen Water® en over de emGuarde.
De situatie met de digitale ID-check staat daar los van en staat op deze pagina omdat het me handig leek de info ergens centraal te plaatsen.

Updates over de ID-check deel ik niet via mijn nieuwsbrief, maar alleen hier op deze pagina en, wanneer me dat handig lijkt, via mijn Facebook-tijdlijn. Zo blijft alles overzichtelijk op één plek.

Disclaimer

De inhoud van deze pagina is uitsluitend bedoeld ter informatie en weerspiegelt mijn persoonlijke ervaring en interpretatie. Er kunnen geen rechten aan worden ontleend. De informatie vormt geen juridisch advies en vervangt geen professioneel advies. Gebruikers van de voorbeeldbrieven en verwijzingen blijven zelf verantwoordelijk voor hun eigen correspondentie, besluitvorming en communicatie met banken of instanties.