Regelgeving en compliance
Ter bescherming van de persoonsgegevens volgt iDIN onder andere de Europese regelgeving voor elektronische identificatiemiddelen (eIDAS) en de Europese privacy-verordening (GDPR). Daarnaast geeft de consument zelf opdracht aan zijn bank voor het verstrekken van de gegevens die nodig zijn om zich bij een organisatie te identificeren. De consument houdt daarmee volledige controle over welke gegevens aan welke partij worden verstrekt.
-
-
eIDAS substantieel compliant
De iDIN-dienst zoals aangeboden door de iDIN-banken biedt zekerheid over de identiteit van consumenten in hun online business. Inherent aan iDIN wordt door het publiek ervaren dat het een hoog niveau van vertrouwen biedt. Het omvat namelijk procedures voor identiteitsbewaking, sterke authenticatiemethoden en middelen die voldoen aan de Wwft/AMLD5 en PSD2 en op grote schaal worden gebruikt om toegang te krijgen tot bancaire toepassingen.
iDIN levert identiteitsvaststelling en authenticatie op het niveau eIDAS substantieel. Niet alleen zijn de iDIN normen en regels conform eIDAS substantieel opgezet, ook zijn de iDIN-normen gedetailleerder en specifieker dan de eIDAS-norm en bieden aanvullende informatie (guidance) opdat voldoende kan worden aangetoond dat ook daadwerkelijk aan eIDAS wordt voldaan.
Een Certificering & Toetsing-raamwerk is van kracht met als onderdelen: een self-assessment, interne auditprocedure, en een onafhankelijke verificatie, om zeker te stellen dat de oplossingen van de iDIN deelnemers aan deze norm blijven voldoen.
Daarnaast laat Currence iDIN ten aanzien van eIDAS substantieel regelmatig adviseren door (gerenommeerde / onafhankelijke) externe partijen en worden waar nodig maatregelen genomen voor een verdere verbetering van de huidige certificerings- en auditprocedure.Het gelaagde Certificering & Toetsing-raamwerk vormt de basis voor het transparante niveau van identiteitszekerheid (identity assurance) van het iDIN-schema alsmede om zeker te stellen dat de oplossingen van haar deelnemers hieraan blijvend voldoen. Belangrijke bouwstenen hierbij zijn:• CSA door de business
• Mededeling van IAD bij het CSA
• Controle door Currence op het CSA
• Uitvoering AUP door IAD in driejaars-cyclus
• Verklaring door externe auditor bij het stelsel van interne controle van iDIN -
Wwft compliant
De Uitvoeringsregeling Wet ter voorkoming van witwassen en financieren van terrorisme (Europese anti-witwasrichtlijn, AML5) wordt gewijzigd, waardoor het mogelijk wordt gemaakt dat bij het cliëntenonderzoek ook gebruik kan worden gemaakt van elektronische identificatiemiddelen om de identiteit van de cliënt vast te stellen en te verifiëren.
De Minister van Financiën heeft haar interpretatie van de Europese Wwft-richtlijn gepubliceerd in de Staatscourant van 15 mei 2020. De gewijzigde vierde anti-witwasrichtlijn bepaalt in artikel 13 dat identificatie en verificatie van de cliënt moet plaatsvinden op basis van documenten, gegevens of informatie uit betrouwbare en onafhankelijke bron, met inbegrip van, voor zover beschikbaar, elektronische identificatiemiddelen. Die mogelijkheid wordt nu verankerd in artikel 4, eerste lid, van de Uitvoeringsregeling Wet ter voorkoming van witwassen en financieren van terrorisme. Een voldoende betrouwbaar identificatiemiddel is een identificatiemiddel dat voldoet aan het betrouwbaarheidsniveau ‘substantieel’ of ‘hoog’ als bedoeld in de eIDAS-verordening. Op basis van deze publicatie kunnen wij concluderen dat organisaties die moeten voldoen aan de AML5 voortaan een elektronisch identificatieproces met een e-ID zoals iDIN kunnen gebruiken om bijvoorbeeld nieuwe klanten te identificeren.
De gebruikersdoelgroep van iDIN voldoet aan de volgende randvoorwaarden:
• Natuurlijke personen;
• met toegang tot internet en/of mobielbankieren;
• die Wwft-compliant (Wet ter voorkoming van witwassen en financieren van terrorisme) zijn geïdentificeerd door de Issuer. -
Statement Privacy Compliance iDIN
Om privacy optimaal te waarborgen binnen iDIN heeft Considerati iDIN op stelselniveau getoetst aan privacywet- en -regelgeving. Considerati concludeert dat iDIN op stelsel-niveau is gebaseerd op het principe van ‘privacy by design’, zoals vereist in de Algemene Verordening Gegevensbescherming. Lees het volledige statement. -
General Data Protection Regulation (GDPR) / Algemene Verordening Gegevensbescherming (AVG)
De General Data Protection Regulation (GDPR) is een Europa-brede wet die de Nederlandse Wet Bescherming Persoonsgegevens (Wbp) heeftvervangen. De wet is al van kracht en sinds mei 2018 kan de toezichthoudende instantie, de Autoriteit Persoonsgegevens (AP), overtreders boetes opleggen. iDIN is op stelsel-niveau gebaseerd op het principe van ‘privacy by design’, zoals vereist in de aankomende Algemene Verordening Gegevensbescherming. -
Rules & Regulations iDIN
De R&R, die beheerd worden door Currence, geven inzicht in de regels en afspraken ten aanzien van alle relevante activiteiten die betrekking hebben op iDIN, met onder andere:
• Normenkader: set van eisen voor o.a. het identificeren van Gebruikers waaraan een voor de Rol van Issuer gelicencieerde partij zich verplicht moet houden. Deze eisen gelden alleen voor iDIN.
• Datakwaliteitseisen: set van eisen voor de dataset die wordt gebruikt binnen iDIN en waaraan een voor de Rol van Issuer gelicencieerde partij zich verplicht moet houden.
• Privacy kader: set van eisen voor ten aanzien van de privacy van de gegevens binnen iDIN waaraan alle gelicencieerde en gecertificeerde iDIN partijen zich verplicht moet houden. Deze eisen gelden alleen voor iDIN. -
Wet digitale overheid
Het is de bedoeling dat burgers en bedrijven vanaf 2019 zaken kunnen doen met de overheid en in de zorg met een inlogmethode naar keuze.
-