De Autoriteit Persoonsgegevens heeft een boete van 150.000 euro opgelegd aan International Card Services BV (ICS). Het bedrijf verwerkt op grote schaal persoonlijke gegevens en was daarom wettelijk verplicht om een Data Protection Impact Assessment (DPIA) uit te voeren bij de invoering van digitaal identificeren. Dat deed ICS niet. Het bedrijf kan nog bezwaar aantekenen tegen de boete.
De privacywaakhond kondigt de boete aan in een persverklaring.
Dit moet je weten over ICS
ICS is met drie miljoen klanten de grootste uitgever van creditcards in Nederland. Het bedrijf verzorgt bovendien al meer dan 35 jaar de uitgifte, promotie, administratie en transactieverwerking van creditcards als Visa en Mastercard. Verder heeft ICS een bankvergunning van De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) om krediet- en spaarrekeningen aan te bieden en te bemiddelen in verzekeringen.
Om deze financiële diensten te mogen aanbieden, moet ICS de identiteit van hun klanten vaststellen. Daarvoor verwerkt ICS op grote schaal persoonlijke gegevens van haar klanten. Naast naam, adres, telefoonnummer, e-mailadres en kopie van een identiteitsbewijs verzamelt het bedrijf tevens foto’s die klanten van zichzelf moeten maken en opsturen via hun smartphone. Deze foto’s gebruikt het bedrijf om te vergelijken met de foto die op hun identiteitsbewijs staat.
ICS had een risicoanalyse moeten uitvoeren
In 2019 begon ICS met het digitaal identificeren van klanten in Nederland. Het ging toen om zo’n anderhalf miljoen klanten. Voordat ICS hiermee mocht beginnen, moest ze een Data Protection Impact Assessment (DPIA) laten uitvoeren.
Een DPIA of gegevensbeschermingseffectbeoordeling is een onderzoek waarbij een onafhankelijke partij in kaart brengt hoe een bedrijf of organisatie omgaat met het verwerken van persoonsgegevens. Ze kijkt onder meer welke privacygevoelige data een instantie verzamelt, voor welke doeleinden ze deze gegevens nodig heeft, hoe ze deze informatie verwerkt en of het verwerken van deze gegevens opweegt tegen de inbreuk op privacy. Kortom, een DPIA is een controlemiddel om te zien of een bedrijf of organisatie de Europese privacyregels naleeft.
In artikel 35 van de Algemene Verordening Gegevensbescherming (AVG) staat dat een DPIA of risicoanalyse verplicht is op het moment dat gegevensverwerking een hoog privacyrisico oplevert voor de mensen van wie de organisatie de gegevens verwerkt. Dat is onder meer het geval bij partijen die financiële diensten aanbieden, zoals ICS.
‘Privacyproblemen voorkomen is beter dan genezen’
Omdat ICS geen risicoanalyse heeft uitgevoerd vóór de introductie van digitaal identificeren in Nederland, vindt de Autoriteit Persoonsgegevens dat het bedrijf een boete verdient. Het boetebedrag is vastgesteld op 150.000 euro. In de ogen van de toezichthouder is dat bedrag ‘passend en geboden’, omdat het bedrag naar eigen zeggen ‘doeltreffend, evenredig en afschrikwekkend’ is.
“Organisaties zijn niet voor niets wettelijk verplicht om van tevoren al te kijken welke risico’s jij loopt als ze jouw gegevens gaan gebruiken. Want als gegevens van jou -zoals een kopie van je paspoort- in verkeerde handen vallen, kun je bijvoorbeeld het slachtoffer worden van identiteitsfraude. Iemand kan dan op jouw naam online spullen kopen zonder zelf te betalen. Daarom is het belangrijk dat organisaties van tevoren grondig uitzoeken of er privacyrisico’s zijn. En zo ja, dat ze daar wat tegen doen. Privacyproblemen voorkomen is beter dan genezen”, vertelt AP-bestuurslid Katja Mur.
ICS kan de boete van de Autoriteit Persoonsgegevens aanvechten. Of ze dat ook daadwerkelijk doet, is onbekend. VPNGids.nl heeft deze vraag voorgelegd aan de afdeling persvoorlichting. Zodra wij een reactie krijgen, vullen we dit bericht aan.
Update (18 januari 2024): een woordvoerder van ICS laat aan VPNGids.nl weten dat ze de boete van de Autoriteit Persoonsgegevens accepteert en niet in beroep gaat tegen het boetebesluit.
“Hoewel de boete wellicht anders doet vermoeden, heeft ICS tijdens de inrichting van het klant her-identificatieproces in 2019 wel degelijk een uitgebreide risicobeoordeling uitgevoerd (…) Hierin is ook ruimschoots aandacht geweest voor privacyrisico’s. Een specifieke DPIA is destijds helaas niet uitgevoerd waar dat wel had gemoeten. ICS betreurt en erkent dit”, aldus de creditcardverstrekker.
Het bedrijf benadrukt dat er in 2021 alsnog een gegevensbeschermingseffectbeoordeling heeft plaatsgevonden. Daarbij zijn geen privacyovertredingen vastgesteld. “Dit betekent dat ICS al zorgvuldig naar privacy risico’s had gekeken en op de juiste, veilige manier met (privacygevoelige) gegevens is omgegaan”, zegt het bedrijf.
