International Card Services (ICS) krijgt een boete van 150.000 euro. De Autoriteit Persoonsgegevens stelt dat het creditcardbedrijf op grote schaal de Algemene verordening gegevensbescherming (AVG) overtrad.
ICS zou geen zogeheten data protection impact assessment (DPIA) hebben uitgevoerd voordat het privacygevoelige informatie voor identificatie ging gebruiken. Deze risicoanalyse is wettelijk verplicht.
Door ingezonden foto’s van klanten te vergelijken met hun paspoortfoto kon ICS de identiteit van deze personen verifiëren. Het ging om 1,5 miljoen mensen.
De AP wijst erop dat financiële instellingen verplicht zijn om de identiteit van klanten te verifiëren. Echter dient voor een nieuwe methodiek een DPIA uitgevoerd te worden, zodat bekend is welke privacyrisico’s de voorgestelde werkwijze oplevert.
ICS gebruikte bij de identificatie eveneens gevoelige informatie zoals naam, adres, telefoonnummer en e-mail. Het zou daarnaast om meer dan alleen foto’s gaan, hoewel de Autoriteit Persoonsgegevens dit niet verder in de berichtgeving verduidelijkt.
“Niet voor niets verplicht”
Katja Mur, bestuurslid van de AP, stelt dat organisaties “niet voor niets wettelijk verplicht” zijn om privacyrisico’s te beoordelen. “Want als gegevens van jou – zoals een kopie van je paspoort – in verkeerde handen vallen, kun je bijvoorbeeld het slachtoffer worden van identiteitsfraude. Iemand kan dan op jouw naam online spullen kopen zonder zelf te betalen. Daarom is het belangrijk dat organisaties van tevoren grondig uitzoeken of er privacyrisico’s zijn. En zo ja, dat ze daar wat tegen doen. Privacyproblemen voorkomen is beter dan genezen.”
De boete is nog niet definitief, want ICS kan nog bezwaar maken. Het besluit is al wel op 18 december bekendgemaakt aan ICS, blijkt uit het besluit (PDF) om de boete op te leggen.
Lees ook: AP adviseert bedrijven transparanter te zijn over omgang met privacy