International Card Services BV (ICS) zegt dat ze in 2019 wel degelijk een risicoanalyse heeft uitgevoerd naar het vernieuwde klant her-identificatieproces. Een Data Protection Impact Assessment (DPIA) heeft daarentegen niet plaatsgevonden. Dat is in 2021 alsnog gedaan. Het bedrijf accepteert de boete van de toezichthouder en gaat niet in hoger beroep.
Dat zegt ICS in een reactie tegenover VPNGids.nl.
AP noemt boete ‘passend en geboden’
Eerder deze week kondigde de Autoriteit Persoonsgegevens aan dat ze een boete van 150.000 euro had opgelegd aan ICS. Het bedrijf levert aan zo’n drie miljoen Nederlanders creditcards van onder meer Visa en Mastercard. Voordat een klant een creditcard krijgt, moet zijn of haar identiteit worden vastgesteld. Naast naam, adres, telefoonnummer, e-mailadres en kopie van een identiteitsbewijs moet men een foto van zichzelf opsturen naar ICS. Medewerkers vergelijken deze dan met de foto die op hun identiteitsbewijs staat.
In 2019 startte ICS met het digitaal identificeren van klanten in Nederland. Maar voordat het bedrijf dit mocht doen, had ze een DPIA of gegevensbeschermingseffectbeoordeling moeten uitvoeren. In het boetebesluit schreef de toezichthouder dat dit niet was gebeurd. Daarop volgde de zojuist genoemde boete. Deze was in de ogen van de privacywaakhond ‘passend en geboden’. “Privacyproblemen voorkomen is beter dan genezen”, zo reageerde AP-bestuurslid Katja Mur op de bestuurlijke boete.
ICS ‘betreurt en erkent’ dat er in 2019 geen DPIA is uitgevoerd
In een reactie bevestigt ICS dat het bedrijf in 2019 haar gehele klantenbestand onderwierp aan een her-identificatieproces. De ‘Wet ter voorkoming van witwassen en financiering van terrorisme’ verplicht immers dat financiële dienstverleners hun klanten doorlichten om er zeker van te zijn dat geld – of in dit geval creditcards – niet gebruikt wordt voor criminele doeleinden, zoals witwassen en het financieren van terrorisme.
“Hoewel de boete wellicht anders doet vermoeden, heeft ICS tijdens de inrichting van het klant her-identificatieproces in 2019 wel degelijk een uitgebreide risicobeoordeling uitgevoerd (…) Hierin is ook ruimschoots aandacht geweest voor privacyrisico’s. Een specifieke DPIA is destijds helaas niet uitgevoerd waar dat wel had gemoeten. ICS betreurt en erkent dit”, zo zegt de creditcardverstrekker tegenover VPNGids.nl.
Om herhaling te voorkomen is in 2020 het proces voor het uitvoeren van een DPIA aangescherpt. In 2021 is alsnog een gegevensbeschermingseffectbeoordeling uitgevoerd op het klant her-identificatieproces. Daarbij zijn ‘geen aanvullende privacyrisico’s vastgesteld’, zo zegt ICS. De Autoriteit Persoonsgegevens heeft evenmin privacyovertredingen vastgesteld. “Dit betekent dat ICS al zorgvuldig naar privacy risico’s had gekeken en op de juiste, veilige manier met (privacygevoelige) gegevens is omgegaan.”
ICS gaat niet in beroep tegen boete van AP
ICS kan nog in beroep gaan tegen het boetebesluit van de toezichthouder. Dat doet het bedrijf echter niet. “ICS accepteert de boete”, zo bevestigt een woordvoerder aan VPNGids.nl.
