Keytrade vraagt identiteitskaart via é-mail (zonder doorhalingen)

[satsurfer]

Mijn dochter wordt 18, en ik moet volmacht ook nog over de rekeningen krijgen. (met haar goedkeuring)

Hiervoor moet je alle id-kaarten van betrokkenen doormailen.

Ik had mijn ID-kaart doorstreept en 'voor keytrade met datumstempel'. Dit aanvaarden ze niet.

"Om uw aanvraag te verwerken ontbreken we helaas een geldig recto verso kopie van uw identiteitskaart.
ID kaart zonder toegevoegde info."

https://www.rijksoverheid.nl/onderwerpe ... -id-bewijs
https://www.rijksoverheid.nl/onderwerpe ... -voorkomen

Doe je dit bij Belfius, moet je naar kantoor gaan. Uw dochter moet meezijn. Je mag niet blad meenemen en haar laten ondertekenen.
Eigenlijk voor Keytrade is het simpel hé...scan je haar handtekening in en plak het in document of met een 1 door haar ondertekende handtekening in Adobe Acrobat, en je ondertekent alles. Zo waterdicht is hun systeem. En dan vallen ze over doorstreepte (2 lijnen) ID kaart uit veiligheidsoverwegingen

Zo veilig zijn ze dan toch niet.
https://www.hln.be/bankieren/cyberveili ... gle.com%2F

Of ben ik paranoïa?

[ITnetadmin]

Dit is een nachtmerrie.
Dat kan echt niet zomaar, om een ongeredacte ID kaart te vragen via een insecure medium.

Enkel tonen wat ze echt nodig hebben, andere vlakken zwart maken, en een watermerk erover met tekst over de bestemming.
Zo hoort dat.

[satsurfer]

tja, dat deed ik.
De moeder die geen knijt ervan kent, en die mij weer vanalles gaat verwijten omdat het terugkeerde was wel 'ok'. Niets geblurred.

Dan werk je met Yubikey en moeilijke paswoorden, en stel je voor via onedrive een tijdelijke link te sturen. Nee, want da's niet veilig voor hen.

Dus nu 3 id-kaarten ergens op mailservers...en nu terug poging 2.

[heist_175]

Eigenlijk zou je voor zoiets een GDPR dossier moeten laten opmaken.
Eerst door hun DPO en dan bij de Privacycommissie.

https://en.wikipedia.org/wiki/General_D ... sonal_data

Controllers and processors of personal data must put in place appropriate technical and organizational measures to implement the data protection principles. Business processes that handle personal data must be designed and built with consideration of the principles and provide safeguards to protect data (for example, using pseudonymization or full anonymization where appropriate). Data controllers must design information systems with privacy in mind. For instance, using the highest-possible privacy settings by default, so that the datasets are not publicly available by default and cannot be used to identify a subject. No personal data may be processed unless this processing is done under one of the six lawful bases specified by the regulation (consent, contract, public task, vital interest, legitimate interest or legal requirement). When the processing is based on consent the data subject has the right to revoke it at any time.

Hoeveel keer hebben ze tegen bovenstaande quote gezondigd?

[ITnetadmin]

En vraag om ambetant te doen mss naar minstens een pgp key om de mail te encrypten?

[satsurfer]

een tijdelijke cloudlink lieten ze zelfs niet toe.

[jutuiz]

Ik werk in de financiële sector.

Een voorbeeldje van de ontzaglijke compliance regels waar velen van ons onder vallen...
https://www.nbb.be/nl/financieel-toezic ... rorisme-37

Als je dat allemaal moet doen als financiële instelling zonder dat je een recto-verso kopie van de ID kaart of een kopie van de bankkaart (dit wordt zeer courant gevraagd, anders wordt er niet uitbetaald) in je bezit hebt?

Dit is een hamer - aambeeld situatie.

[satsurfer]

kan er nu echt geen beveiligde uploadlink voorzien worden? Eerst inloggen via é-id of itsme, en dan kaart uploaden.

[phil48]

Ik werk in de financiële sector.

Een voorbeeldje van de ontzaglijke compliance regels waar velen van ons onder vallen...
https://www.nbb.be/nl/financieel-toezic ... rorisme-37

Ik moest een maand of zes geleden eens het email adres vervangen voor mijn account bij een online gokkantoor (voetbal). Blijkbaar mag je dat vanwege die idiote regels niet zelf in je eigen account, maar moet je eerst naar hun helpdesk een (per mail) kopie (recto/verso) van je id kaart sturen.

Heb mijn geld daar weggehaald en het account gesloten.

[bollegijs]

ik werd onlangs ook gevraagd voor kopie van id via gewoon email adres door ING, het was om een rekening te stoppen...

[selder]

Banken mogen dat vragen.

https://www.gegevensbeschermingsautorit ... voorleggen

[Sinna]

Banken mogen dat inderdaad vragen, maar dat zou toch minstens op een veilige manier mogen gebeuren.
Waarom niet via de eID-reader? Zoals al eerder aangegeven is email een inherent onveilig medium.

[fendtje]

Bij Keytrade is het heel logisch dat ze een kopie van id kaart vragen.
Alhoewel de Id kaart al in hun bezit is en deze nog geldig is.
Blijkbaar zijn ze niet in de mogelijkheid om de Id kaart te registreren in een centraal systeem.
Nu bij Hello bank kan men rekening online openen.
Daar vragen ze ook uw id kaart.
Nu om met de rekening te mogen werken mag men een afspraak maken in fortis kantoor om daar voor de zekerheid de id kaart te laten inlezen.
Het online gebeuren ten top.
Om te weten te komen van inlezen in kantoor meer dan een uur aan de telefoonlijn.
De kassa met een prepaid kaartje moet rinkelen.

[satsurfer]

Banken mogen dat vragen.

Het gaat er niet over dat ze dit niet mogen vragen (Ik heb geen probleem hiermee). Maar ze mogen dan veilige manier creëren om dit te doen.
Nu is het hun probleem niet als je ID-kaart onderweg ergens opgeschept wordt i/h proces.

[vverbeke]

Als ik het mij goed herinner, want het is al een aantal jaren geleden, ben ik bij Belfius ooit eens mijn eID in één van hun automaten moeten gaan steken om die te registreren en dat was het. Communicatie daarover was ook heel duidelijk. Geen onveilige mail, afspraak maken of van die toestanden nodig.

[boonpwnz]

Ik weet dat ik dat met kbc al hebben moeten doen. Dat is pas veilig zonder problemen.

[Sinna]

Idem voor Argenta.

[ITnetadmin]

Banken mogen dat dan wel vragen, ze zouden verplicht moeten zijn om daar een veilig platform voor te voorzien.
"Email nekeer een ongecensureerde kopie van uwen ID zonder watermerk etc" is *geen* adequaat beveiligde methode.

[jphermans]

Idem voor Argenta.

Bij Argenta vragen ze dit bij elk bezoek. Nu niet dat ik wekelijks daar sta maar wanneer nodig is dat ik daar moet zijn, dan vragen ze om up te daten. Heb hier geen probleem mee.

[Sinna]

Ik kan de tijd niet meer noemen dat ik daar nog in een kantoor gestaan heb.
Ik werd via internetbankieren (iirc) uitgenodigd om naar een Argenta-automaat te gaan om mijn pas te laten inlezen.

[heist_175]

Spreek de CDO eens aan
https://www.linkedin.com/in/matox/

[jutuiz]

Banken mogen dat inderdaad vragen, maar dat zou toch minstens op een veilige manier mogen gebeuren.
Waarom niet via de eID-reader? Zoals al eerder aangegeven is email een inherent onveilig medium.

Zoals ik het begrepen heb maar het inlezen van een EID bestand is wel toegestaan, maar dit wordt niet gezien als een afdoende methode om een klant te identificeren. Dus op het moment dat we bv. een EID uitlezen (omdat klanten te importeren in een beheersplatform), dan wordt achteraf toch een foto of kopie van de EID kaart gevraagd. De EID wordt meer gezien als een manier om snel data in te lezen (expectations versus reality is dat natuurlijk zeer relatief).

[heist_175]

Banken mogen dat inderdaad vragen, maar dat zou toch minstens op een veilige manier mogen gebeuren.
Waarom niet via de eID-reader? Zoals al eerder aangegeven is email een inherent onveilig medium.

Zoals ik het begrepen heb maar het inlezen van een EID bestand is wel toegestaan, maar dit wordt niet gezien als een afdoende methode om een klant te identificeren.

Waarom niet?
Op de chip staat een code die min of meer random is, als je die key hebt in uw systeem, heb je het bewijs dat je wel degelijk de e-ID chip hebt uitgelezen. Die string staat nl enkel op de chip en nergens anders op de kaart. Aangezien het random data is, kan je die string ook niet opbouwen met de data die op de kaart zelf staan.

Dus op het moment dat we bv. een EID uitlezen (omdat klanten te importeren in een beheersplatform), dan wordt achteraf toch een foto of kopie van de EID kaart gevraagd.

Er zijn banken die het tegendeel aantonen: die lezen een eID in en klaar.

[tdemeyer]

Euh.... Kopie ID bezorgen aan Keytrade kan je gewoon via de website... Ik zie dus niet direct een security probleem...

[satsurfer]

Dus nu 3 id-kaarten ergens op mailservers...en nu terug poging 2.

3 ID-kaarten. gem. kindrekening + kaart kind.

Zeg me eens hoe je dat fixt tdemeyer?
In de pdf:

Screenshot_20210828-204422.jpg

https://www.keytradebank.be/nl/support/ ... ormulieren

https://www.keytradebank.be/files/docum ... _PP_nl.pdf
https://www.keytradebank.be/files/docum ... eur_nl.pdf

[WalterB1]

Voor de procedure om een Keyplan stop te zetten heb ik wel een kopie van mijn eID via e-mail moeten mailen zeer recent. Had dat ook per briefpost kunnen doen. Geen optie was aangegeven op het formulier om dat via een e-loket te doen.

[ubremoved_2964]

Zelfde bij rabobank om mijn rekening daar te kunnen opdoeken - en hun digipass werkt al lang niet meer .....

Mail vandaag:

Hebt u geen toegang meer tot uw rekeningen?

Aangezien het saldo van uw rekeningen minder dan 60 EUR bedraagt, zullen wij de klantenrelatie opzeggen en de rekeningen voor u afsluiten.
Stuur hiervoor een e-mail naar [email protected] en vermeld een tegenrekening op uw naam bij een andere bank waar wij uw tegoeden zullen storten.
Voeg bij deze e-mail een recto/verso kopie van uw identiteitskaart.
We storten uw tegoeden en eventuele intresten op de door u opgegeven tegenrekening.

Heb ze laten weten per email dat het doorsturen van mijn ID per unecrypted email onveilig is, en geweigerd wordt, en dat ze maar een andere manier moeten voorstellen.