Op een consumentenforum verscheen een melding over de identificatieplicht bij een buitenlandse hosting aanbieder en daarbij viel de term KYC. Kort daarop kreeg de redactie te horen dat in Nederland politiediensten en overheid bij hosters ook pleiten voor iets dergelijks. En wederom viel de term KYC.
Uitleg KYC
Het proces van identificatie van klanten is verruimd en dat gaat hand in hand met regels die het accepteren van grote bedragen in contant geld verbieden. De autohandel, maar zelfs meubelzaken mogen al jaren geen dik pak geld meer in ontvangst nemen zonder vast te stellen die tegenover ze zit en ze moeten de transactie ook verplicht melden.
In andere landen dan Nederland geldt al jaren een verbod op het verstrekken van simkaarten aan personen waarvan de identiteit niet bekend is. Daarmee is in die landen de prepaid markt onderuit gehaald, maar dat was niet het doel van het verbod. Wel is het doel van die regel criminaliteit tegen te gaan.
Of het nu gaat om de verkoop van auto’s, bankstellen of simkaarten, overal gebruikt men de term KYC. Het proces van identificatie van de klant is min of meer overal gelijk, de vervolgstappen (registratieplicht, meldplicht of weigeren van de klant) kan verschillen. Dat het KYC heet is begrijpelijk, maar weet daarbij dat het begrip niet altijd verwijst naar de eerder genoemde Europese Richtlijn. Er zijn ook nationale wetten die een heel andere terrein bestrijken die het zelfde eisen.
Hosting
Nu terug naar het verhaal van de hosting provider. Die verlangt van zijn klanten “iets” waaruit de ID blijkt. Waarom dat gebeurt weet iedereen uit de sector. Het bedrijf heeft een kwalijke reputatie als het gaat om het ongewild faciliteren van cybercrime. Elke keer de politie aan de deur hebben en racks uit het eigen datacenter haalt is geen prettige manier van zakendoen. Dus voor het accepteren van nieuwe klanten ligt de lat hoger.
Natuurlijk leidt dat tot online discussies over juridische basis van de maatregel. De mensen die hier het meest kritisch op zijn hebben duidelijk niet in de gaten dat de Nederlandse overheid het liefst ziet dat alle aanbieders van IT services dat ook gaan doen. Om precies dezelfde reden ook, want Nederland staat permanent hoog in de lijst van landen waarvan de infra cybercrime en andere strafbare handelingen mogelijk maakt en versterkt.
Van VPS naar SIM
Om de knuppel maar in het hoenderhok te gooien: als een vorm van KYC beleid gaat gelden voor VPS aanbieders (want vooral daar gaat het concreet over) dan kun je er gif op innemen dat partijen die prepaid SIM kaarten verkopen zonder de klant te registeren beter onder de loep genomen gaan worden. Ook dat is een product dat vooral opvalt door het grootschalige misbruik.