Boete voor creditcardbedrijf ICS na ontbrekende risicoanalyse
De Autoriteit Persoonsgegevens (AP) legt International Card Services B.V. (ICS) een boete op van 150.000 euro. ICS gebruikte op grote schaal persoonlijke gegevens van klanten zonder dat het bedrijf eerst een wettelijk verplichte DPIA deed, een analyse waarmee mogelijke privacyrisico’s in kaart worden gebracht. ICS overtrad daardoor de privacywet, de Algemene verordening gegevensbescherming (AVG).
Organisaties zijn in veel gevallen verplicht om een risicoanalyse uit te voeren, een data protection impact assessment (DPIA). Daarbij gaan zij van tevoren grondig na welke risico’s er kunnen ontstaan als ze privacygevoelige informatie van mensen gaan verzamelen en gebruiken. Zodat zij ook van tevoren al maatregelen kunnen nemen om de privacy van deze mensen te beschermen.
1,5 miljoen klanten
ICS heeft nagelaten om een DPIA uit te voeren voordat het bedrijf in 2019 begon met het digitaal identificeren van klanten in Nederland. ICS had wel een DPIA moeten doen, want bij de identiteitscontroles ging het om heel veel mensen: zo’n 1,5 miljoen.
De persoonlijke informatie die bij de identificatie werd gebruikt, was bovendien gevoelig van aard. Behalve om bijvoorbeeld naam, adres, telefoonnummer en e-mail van klanten, ging het onder meer om een foto die klanten van zichzelf moesten maken en opsturen via een mobiele telefoon of webcam. ICS gebruikte deze foto’s vervolgens om ze te vergelijken met de kopieën van de identiteitsbewijzen van klanten.
Financiële instellingen zijn wettelijk verplicht om de identiteit van hun klanten vast te stellen en mogen daarvoor zulke informatie gebruiken. Maar ze moeten wel uiterst zorgvuldig met de informatie omgaan. Dat betekent bijvoorbeeld dat een DPIA verplicht is.
Identiteitsfraude
Katja Mur, bestuurslid van de AP: ‘Organisaties zijn niet voor niets wettelijk verplicht om van tevoren al te kijken welke risico’s jij loopt als ze jouw gegevens gaan gebruiken. Want als gegevens van jou – zoals een kopie van je paspoort – in verkeerde handen vallen, kun je bijvoorbeeld het slachtoffer worden van identiteitsfraude. Iemand kan dan op jouw naam online spullen kopen zonder zelf te betalen. Daarom is het belangrijk dat organisaties van tevoren grondig uitzoeken of er privacyrisico’s zijn. En zo ja, dat ze daar wat tegen doen. Privacyproblemen voorkomen is beter dan genezen.’
Hoe nu verder?
ICS kan nog bezwaar maken tegen de boete van de AP.