Brandbrief Privacy First over verplichtstelling Europese digitale identiteit bij banken

Geachte heer Heinen (minister van Financiën)
geachte heer Heerma (minister BZK)
geachte heer Van Weel (minister J&V)
geachte mevrouw Herbert (minister EZK)
geachte leden van de Tweede Kamer,

Hierbij attendeert Stichting Privacy First u erop dat de nieuwe Europese antiwitwasautoriteit AMLA [1] in strijd met de eIDAS-verordening in een recent bekendgemaakt consultatiedocument [2] voorstelt dat witwasbestrijdingsplichtigen natuurlijke personen in non-face-to-face situaties moeten identificeren door middel van de Europese digitale identiteit (‘EUDI-wallet’).

Wij verzoeken u dringend de Europese Commissie en AMLA te wijzen op de verplichtingen die uit de eIDAS-verordening voortvloeien en die niet door de antiwitwasregelgeving mogen worden ondergraven. Dit is van groot belang voor de vele mensen in de EU die onvoldoende digitaal vaardig zijn en voor degenen die geen gebruik kunnen of willen maken van digitale middelen waarvoor apparaten en software van Big Tech moeten worden gebruikt.

EBA consultatie

AMLA is op de hoogte van de verplichtingen op grond van de eIDAS-verordening, aangezien Privacy First daar in de consultatie van de Europese Banken Autoriteit (EBA) op heeft gewezen. Op 6 juni 2025 heeft Privacy First deelgenomen [3] aan een consultatie van de Europese Banken Autoriteit (EBA) [4] over de nadere regels (‘RTS’) op het gebied van het cliëntenonderzoek op grond van de antiwitwasverordening (AMLR) die medio 2027 in werking treedt.

In het consultatiedocument stelde EBA voor dat witwasbestrijdingsplichtigen in non-face-to-face situaties verplicht zullen zijn om de Europese digitale identiteit (‘EUDI-wallet’) te gebruiken voor de verificatie van de identiteit. Wij hebben de EBA er op geattendeerd dat de door hen voorgestelde bepaling in strijd is met de eIDAS-verordening, die bepaalt dat het gebruik van de EUDI-wallet volledig vrijwillig is. Voorts hebben wij uitvoerig toegelicht dat aan verificatie van de identiteit voor mensen grote risico’s zijn verbonden en er van witwasbestrijdingsplichtigen, gezien de afhankelijkheidsrelatie, extra maatregelen mogen worden verwacht om de risico’s voor burgers te beperken.

AMLA neemt de EBA-tekst over

Onlangs heeft AMLA de nadere regels opnieuw in consultatie gebracht [2]. Wij zien aan het ontwerp dat AMLA niets heeft gedaan met ons commentaar op de verplichtstelling van de EUDI-wallet. Opnieuw staat in het ontwerp dat het gebruik van de EUDI-wallet verplicht is en dat alleen in uitzonderlijke gevallen identificatie op een andere digitale manier mag plaatsvinden. Ons voorstel dat er altijd een vorm van alternatieve, fysieke identificatie moet worden aangeboden, zodat aan de eIDAS-verordening wordt voldaan, is niet overgenomen.

Dringend actie nodig

Hoewel wij van plan zijn aan de consultatie door AMLA deel te nemen, willen wij nu al aan de alarmbel trekken. Het is immers hoogst ongewenst dat Europese instanties de voorschriften van Europese verordeningen naast zich neer leggen.

Het is belangrijk dat artikel 5a van de eIDAS verordening [5], waarin staat dat het gebruik van de EUDI-wallet volledig vrijwillig is, geen dode letter wordt. Wij hopen dat u daar uw bijdrage aan zult leveren.

Deze open brief zullen wij ook elders verspreiden. Voorts zullen wij AMLA aanschrijven.

Hoogachtend,
Stichting Privacy First

Noten

[1] The Authority for Countering Money Laundering and Financing of Terrorism, https://www.amla.europa.eu/.

[2] Aankondiging: https://www.amla.europa.eu/policy/public-consultations/consultation-draft-rts-customer-due-diligence_en.

[3] Artikel over onze consultatiedeelname: https://privacyfirst.nl/artikelen/digitale-identiteit-wordt-sluipenderwijs-toch-verplicht/, volledige consultatiebijdrage van Privacy First: https://privacyfirst.nl/wp-content/uploads/Privacy-First-response-EBA-consultation-on-additional-AMLR-rules-June-2025.pdf.

[4] Aankondiging: https://www.eba.europa.eu/publications-and-media/press-releases/eba-consults-new-rules-related-anti-money-laundering-and-countering-financing-terrorism-package.

[5] https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:02014R0910-20241018#art_5a, lid 15.

Update 1 juni 2026

Privacy First vraagt Tweede Kamer om aandacht voor de risico’s van de EUDI-wallet 

Privacy First heeft vandaag een brief aan de Tweede Kamer gestuurd over identificatie, meer in het bijzonder digitale identificatie.

Het zichzelf identificeren – onder meer het tonen van een identiteitsbewijs (ID) – is op zichzelf al een voor mensen riskante activiteit, zeker als dat ID wordt gekopieerd en opgeslagen. De toegenomen digitale criminaliteit, onveilige praktijken van degenen die identificeren en de overheidswens dat mensen zich voor toegang tot het internet identificeren om hun leeftijd aan te tonen, zorgen voor een exponentiële groei van de gevaren.

Het voornemen van de commissie Digitale Zaken van de Tweede Kamer om extra aandacht aan digitale identificatie te besteden was een aanleiding voor de brief. Daarbij speelt ook een rol dat de minister van Financiën, naar aanleiding van onze brandbrief van 9 maart jl. over de afbraak van de vrijwilligheid van de Europese digitale identiteit (EUDI-wallet), aan de Tweede Kamer heeft meegedeeld dat er ‘niets’ aan de hand zou zijn. Daar is Privacy First het niet mee eens.

In de brief van vandaag leggen we uit dat als gevolg van de nieuwe antiwitwasregels de EUDI-wallet in de praktijk verplicht zal worden voor grote bedrijven met witwasbestrijdingsverplichtingen (onder andere banken), doordat die grote bedrijven in Nederland vrijwel geen fysieke kantoren meer hebben en in de praktijk aansturen op digitale identificatie van hun cliënten. Deze problematiek gaat ook in andere domeinen dan de witwasbestrijding spelen.

Daar komt bij dat het Europese systeem voor digitale identificatie zoals gebaseerd op de eIDAS-verordening ernstige gebreken vertoont. Eén van die gebreken is dat de aanbieders van de identificatie-wallets (EUDI-wallet en Business Wallet) niet op integriteit en het ontbreken van tegenstrijdig belang worden gescreend.

Over het systeem van de identificatie-wallets hebben wij in onze brief een groot aantal vragen gesteld, die gaan over:

• het voorkomen dat de wallets een controlemiddel worden,
• het ontbreken van waarborgen dat de ontvangende partijen niet overvragen (overidentificatie),
• de niet aanwezige waarborgen ter voorkoming van onnodige verspreiding van persoonsgegevens,
• het gebrekkige verdienmodel voor walletaanbieders,
• de niet verplicht-gestelde mogelijkheden om wallets te gebruiken zonder apparaten of software van internetgiganten van buiten de EU.

Privacy First verzoekt de wetgever om maatregelen om de identificatierisico’s te beperken. Lees HIER de volledige brief die Privacy First daartoe vandaag aan de Tweede Kamer verzond (pdf).