Updates / Boete voor ontbreken privacy risicoanalyse
19 01 2024

Boete voor ontbreken privacy risicoanalyse

De Autoriteit Persoonsgegevens (‘AP’) heeft International Card Services BV (‘ICS’) een boete opgelegd van 150.000 euro. Het bedrijf verwerkte via haar identificatieproces op grote schaal gevoelige persoonsgegevens van klanten, zonder vooraf de privacyrisico’s in kaart te brengen. Daarmee handelde ICS in strijd met de Algemene Verordening Gegevensbescherming (‘AVG’).

ICS, een dochteronderneming van ABN AMRO, verzorgt voor verschillende banken de uitgifte, administratie en controle van creditcards. Als financiële instelling is ICS verplicht de identiteit van klanten vast te stellen.

Vanaf 2019 is ICS gestart met het opnieuw identificeren van haar klanten, via een online identificatie- en verificatieproces. In het kader daarvan verwerkte ICS voor- en achternaam, geboortedatum en -plaats, adresgegevens, contactgegevens, geslacht, BSN-nummer en het documentnummer van het ID-document van klanten. Onderdeel van het proces was daarnaast dat klanten een foto van zichzelf maakten en deze verzonden via hun smartphone of webcam. Ongeveer 1,5 miljoen klanten in Nederland werd door ICS verzocht zich op deze manier te identificeren.

Naar aanleiding van diverse klachten en signalen hierover stelde de AP een onderzoek in. Dit resulteerde op 18 december 2023 in een boete vanwege het niet vooraf uitvoeren van een risicoanalyse. Het boetebesluit is op 15 januari 2024 gepubliceerd.

AVG verplicht tot uitvoeren DPIA

Verwerkingsverantwoordelijken moeten, voordat zij overgaan tot het uitvoeren van nieuwe verwerkingen die waarschijnlijk een hoog privacy risico meebrengen, een risicoanalyse uitvoeren. Dat volgt uit artikel 35 AVG. De AVG spreekt van een gegevensbeschermingseffectbeoordeling of, in het Engels, ‘data protection impact assessment’ (kort: ‘DPIA’).

Het uitvoeren van een DPIA is in het bijzonder van belang wanneer nieuwe technologieën worden gebruikt en bij grootschalige verwerkingen van bijzondere persoonsgegevens.

De AP stelde vast dat in het geval van ICS sprake was van verwerking van gevoelige gegevens en gegevens van zeer persoonlijke aard, op grote schaal. Dit brengt een hoog privacyrisico met zich en dus had ICS het uitvoeren van een DPIA niet achterwege mogen laten.

Hoogte boete

De boete die de AP oplegde was in dit geval relatief mild, omdat niet is gebleken dat de DPIA opzettelijk niet is uitgevoerd. ICS heeft namelijk wel een intern protocol toegepast waarin de applicatie ook op privacyrechtelijke aspecten getoetst zou zijn. Zij achtte dat voldoende.

Van nalatigheid is volgens de AP wel sprake. ICS heeft alleen fraudebestrijding en naleving van de Wwft als doorslaggevende uitgangspunten gehanteerd bij het her-identificatieproces. Zij heeft toetsing op naleving van de AVG, concreet het uitvoeren van een DPIA, niet noodzakelijk geacht. Een dure inschattingsfout van ICS.

Contact

Twijfelt u of u een DPIA moet uitvoeren? Of gaat u werken met nieuwe technologieën en bent u op zoek naar praktische handvatten bij uitvoering van een DPIA? Neem contact op met Monique Schreurs of Julia Driessen, of met één van onze andere specialisten van de expertise Privacy. Zij helpen u graag verder.

Gerelateerde expertises

Beheer mijn cookies

Om ervoor te zorgen dat de website bz.nl goed functioneert, maakt Boels Zanders NV gebruik van technieken waarbij persoonsgegevens worden verwerkt, zoals cookies. Op de website bz.nl maken we onderscheid tussen functionele en niet-functionele cookies.

Functionele cookies (noodzakelijk)

Functionele cookies plaatsen we altijd. Deze zijn namelijk noodzakelijk om de website goed te laten werken. Deze cookies verwerken geen persoonsgegevens.

(Altijd actief)

Analytische cookies (optioneel)

Deze niet-functionele analytische cookies verwerken persoonsgegevens buiten uw gezichtsveld. Daarom vragen wij altijd uw toestemming voor wij deze cookies plaatsen. Analytische cookies hebben allerlei verschillende doeleinden, maar stellen ons vooral in staat om onze dienstverlening te verbeteren.

Als u hiermee akkoord gaat, kunt u gewoon verder gaan. In onze cookieverklaring leest u meer over cookies en u kunt indien gewenst uw cookie-instellingen aanpassen.

Mijn keuze opslaan