Bank-selfie naar Europees Hof: Privacystrijd laait op
Mag een creditcardmaatschappij uw pasfoto of een 'selfie' opslaan in hun database voor een cliëntenonderzoek? In een arrest dat is gepubliceerd, laat de Hoge Raad weten dat er grote twijfels bestaan over de huidige praktijk. Hoewel de Raad oordeelt dat een enkele foto geen 'biometrisch gegeven' is, moeten de Europese rechters in Luxemburg nu uitsluitsel geven over de vraag of het bewaren van pasfoto’s wel noodzakelijk is voor de strijd tegen witwassen.
De zaak draait om een kaarthoudster die al sinds 2008 een creditcard heeft bij International Card Services (ICS). In 2020 eiste ICS dat zij zich opnieuw online zou identificeren via een app, waarbij zij een foto van haar identiteitsbewijs en een selfie moest maken. De vrouw weigerde dit uit principiële bezwaren tegen het opslaan van haar foto. ICS blokkeerde daarop haar kaart en zegde de overeenkomst op.
Nadat zowel de rechtbank als het hof de bank in het gelijk stelden, stapte de vrouw naar de Hoge Raad. Die komt nu met een tussenarrest waarin fundamentele vragen over de balans tussen veiligheid en privacy centraal staan.
Is een selfie een 'biometrisch gegeven'?
Een van de belangrijkste klachten van de vrouw was dat een pasfoto een 'biometrisch gegeven' is. Volgens de AVG is het verwerken van dergelijke gevoelige data in principe verboden.
De Hoge Raad schept hierover echter duidelijkheid: het enkele opslaan van een foto is géén verwerking van biometrische gegevens. Pas als de bank de foto zou gebruiken voor specifieke technische gezichtsherkenning (zoals bij FaceID), valt het onder het strenge verbod. Een digitale foto in een dossier is dus juridisch gezien 'slechts' een gewoon persoonsgegeven.
De kern: Is bewaren verplicht?
De echte juridische strijd gaat over de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). ICS stelt dat zij op basis van deze wet verplicht is een kopie van het identiteitsbewijs — inclusief foto — te bewaren.
De Hoge Raad zet hier vraagtekens bij:
- Keuzevrijheid: De wet biedt de bank de keuze: óf de persoonsgegevens (naam, geboortedatum, etc.) overnemen, óf een kopie van het ID opslaan. Als er een minder ingrijpend alternatief is, is het bewaren van de foto dan wel "noodzakelijk"?
- Minimale gegevensverwerking: De AVG schrijft voor dat je niet meer data mag opslaan dan nodig. De Hoge Raad vraagt zich af welk algemeen belang precies gediend wordt met het bewaren van een pasfoto voor de opsporing van witwassen.
Europese vragen
Omdat de Nederlandse Wwft gebaseerd is op een Europese richtlijn, mag de Hoge Raad de knoop niet alleen doorhakken. De Raad heeft daarom het voornemen geuit om prejudiciële vragen te stellen aan het Hof van Justitie van de Europese Unie (HvJEU).
Een van de meest prikkelende vragen aan Europa is of een foto ook informatie over ras of etnische afkomst bevat. Als dat zo is, valt de foto alsnog onder de 'bijzondere categorieën' van persoonsgegevens die extra zwaar beschermd zijn.
Wat nu?
Partijen krijgen tot 10 april 2026 de tijd om te reageren op de voorgestelde vragen. Daarna zullen de vragen officieel naar Luxemburg gaan. Het kan vervolgens nog een tot twee jaar duren voordat er een definitieve uitspraak ligt. Voor de praktijk betekent dit dat de discussie over 'copy-ID' en selfies bij banken en verzekeraars nog lang niet is beslecht.
