PrivacyTeam033 200 30 83
Inloggen

Alleen een echte DPIA telt! - Boete voor ICS

Alleen een echte DPIA telt! - Boete voor ICS

De Autoriteit Persoonsgegevens (AP) legt International Card Services B.V. (ICS) een boete op van 150.000 euro. ICS gebruikte op grote schaal persoonlijke gegevens van klanten zonder dat het bedrijf eerst een wettelijk verplichte DPIA deed, een analyse waarmee mogelijke privacyrisico’s in kaart worden gebracht. ICS overtrad daardoor de privacywet, de Algemene verordening gegevensbescherming (AVG). 

Organisaties zijn in veel gevallen verplicht om een risicoanalyse uit te voeren, een data protection impact assessment (DPIA). Daarbij gaan zij van tevoren grondig na welke risico’s er kunnen ontstaan als ze privacygevoelige informatie van mensen gaan verzamelen en gebruiken. Zodat zij ook van tevoren al maatregelen kunnen nemen om de privacy van deze mensen te beschermen. 

1,5 miljoen klanten 

ICS heeft nagelaten om een DPIA uit te voeren voordat het bedrijf in 2019 begon met het digitaal identificeren van klanten in Nederland. ICS had wel een DPIA moeten doen, want bij de identiteitscontroles ging het om heel veel mensen: zo’n 1,5 miljoen. 

De persoonlijke informatie die bij de identificatie werd gebruikt, was bovendien gevoelig van aard. Behalve om bijvoorbeeld naam, adres, telefoonnummer en e-mail van klanten, ging het onder meer om een foto die klanten van zichzelf moesten maken en opsturen via een mobiele telefoon of webcam. ICS gebruikte deze foto’s vervolgens om ze te vergelijken met de kopieën van de identiteitsbewijzen van klanten. 

Financiële instellingen zijn wettelijk verplicht om de identiteit van hun klanten vast te stellen en mogen daarvoor zulke informatie gebruiken. Maar ze moeten wel uiterst zorgvuldig met de informatie omgaan. Dat betekent bijvoorbeeld dat een DPIA verplicht is. 

Alleen een echte DPIA telt

Volgens ICS hoefde zij geen DPIA uit te voeren omdat met het CRA-proces risico’s van misbruik van
persoonsgegevens zijn geanalyseerd en dit proces volgens ICS in zoverre gelijk te stellen is aan een DPIA.
De vervolgvraag die, gelet hierop, is beantwoord door de AP, is of het CRA-proces van ICS gelijk te stellen is aan een DPIA.

De AP oordeelt als volgt:

De Richtsnoeren* geven criteria voor een aanvaardbare DPIA. Het is vervolgens aan een verwerkingsverantwoordelijke om een methode te kiezen waarmee aan de gestelde criteria wordt voldaan.
De verwerkingsverantwoordelijke is verplicht om aan die (hoofd- en sub)criteria te voldoen. Zo moet(en):
1. een systematische beschrijving van de verwerking worden gegeven;
2. de noodzaak en evenredigheid van de verwerking worden beoordeeld;
3. de risico’s voor de rechten en vrijheden van betrokkenen worden beheerd;
4. de belanghebbenden (hun vertegenwoordigers) en de functionaris gegevensbescherming (FG)
worden betrokken. 

ICS heeft gebruik gemaakt van het CRA-proces van ABN-AMRO. Het CRA-proces van ABN-AMRO
bestaat uit 22 risico’s(bedreigingen) met een bijbehorende code. Het overgrote deel van de beschreven
risico’s hebben direct of indirect betrekking op fraudebestrijding en naleving van de Wet ter voorkoming
van Witwassen en Financieren van Terrorisme (Wwft). Slechts drie risico’s hebben betrekking op de bescherming van persoonsgegevens. Daarmee voldoet ICS aan één van de hoofdcriteria uit de Richtsnoeren, namelijk het derde criterium: “beheer van risico’s voor de rechten en vrijheden van betrokkenen”. Het CRA-proces van ABN AMRO was op de overige drie criteria onvoldoende toegespitst op de bescherming van persoonsgegevens, zodat het CRA-proces niet volledig genoeg is om aan de AVG te voldoen.

ICS heeft, aanvullend op het CRA-proces van ABN-AMRO, in april 2020 nog een eigen CRA-proces
uitgevoerd. Dit CRA-proces geeft evenmin een systematische beschrijving van de verwerking. Verder is
niet gebleken dat de noodzaak en evenredigheid van de verwerking is beoordeeld, in het bijzonder de
maatregelen die bijdragen aan de bescherming van rechten van betrokkenen. Daarbij komt dat niet
gebleken is dat belanghebbenden, hun vertegenwoordigers en evenmin de functionaris
gegevensbescherming bij de verwerking zijn betrokken. Zo heeft de FG van ICS geen advies kunnen uitbrengen over het uitvoeren van een DPIA. Dit betekent dat ICS drie van de vier (hoofd)criteria voor een
aanvaardbare DPIA niet heeft getoetst.

Uit het voorgaande volgt dat de criteria die in de Richtsnoeren worden genoemd voor een aanvaardbare
DPIA niet zijn toegepast in het CRA-proces van ICS. Het CRA-proces van ICS, bezien in samenhang met
dat van ABN-AMRO, zijn naar het oordeel van de AP daarom niet gelijk te stellen met een DPIA. De CRA processen van ICS en ABN-AMRO hadden hoofdzakelijk tot doel het voorkomen en bestrijden van
(identiteits)fraude en richtten zich niet (ook) specifiek tot de bescherming van persoonsgegevens.

Download hier besluit boete ICS

* Richtsnoeren voor gegevensbeschermingseffectbeoordelingen en bepaling of een verwerking “waarschijnlijk een hoog risico inhoudt” in de zin van de Verordening 2016/679 (WP 248 rev. 01). De EDPB heeft deze Richtsnoeren bekrachtigd.

Bron: Boete voor creditcardbedrijf ICS na ontbrekende risicoanalyse | Autoriteit Persoonsgegevens

Naar het overzicht