Geen DPIA uitgevoerd betekent boete voor ICS

31 januari 2024 om 17:00

International Card Services B.V. (dochter van ABN AMRO Bank N.V.) verwerkt op grote schaal persoonlijke gegevens van klanten, zonder dat het bedrijf eerst een wettelijk verplichte Data Protection Impact Assessment (DPIA) heeft uitgevoerd. Een DPIA is een analyse waarmee mogelijke privacyrisico’s in kaart worden gebracht. ICS heeft daarmee de Algemene verordening gegevensbescherming (AVG) overtreden en kreeg een boete van € 150.000,- van de Autoriteit Persoonsgegevens (AP) opgelegd.  

Risicoanalyse 

Organisaties zijn in veel gevallen verplicht om een risicoanalyse, een DPIA, uit te voeren. Daarbij gaan zij van tevoren grondig na welke risico’s er kunnen ontstaan als ze privacygevoelige informatie van mensen gaan verzamelen en gebruiken. Zo kunnen zij van tevoren al beheersmaatregelen nemen om de privacy van deze mensen te beschermen.  
 
Een DPIA is verplicht als gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de persoonsgegevens worden verwerkt. Dit moet de organisatie als verwerkingsverantwoordelijke zelf bepalen. Dit is het geval wanneer er onder andere sprake is van verwerking ter beoordeling van persoonlijke aspecten, bijvoorbeeld profilering en bij grootschalige verwerking van bijzondere persoonsgegevens en strafrechtelijke gegevens.  

Geen DPIA uitgevoerd 

ICS heeft nagelaten om een DPIA uit te voeren, voordat het bedrijf in 2019 begon met het digitaal identificeren van klanten in Nederland. ICS had wel een DPIA moeten uitvoeren, want bij de identiteitscontroles ging het om heel veel mensen: zo’n 1,5 miljoen. De persoonlijke informatie die bij de identificatie werd gebruikt, was bovendien gevoelig van aard. Naast naam, adres, telefoonnummer en e-mail van klanten, ging het onder meer om een foto die klanten van zichzelf moesten maken met een mobiele telefoon of webcam daarna en opsturen. ICS gebruikte deze foto’s vervolgens om ze te vergelijken met de kopieën van de identiteitsbewijzen van klanten.  
 
Financiële instellingen zijn wettelijk verplicht om de identiteit van hun klanten vast te stellen. Zij mogen daarvoor deze informatie gebruiken, maar ze moeten wel uiterst zorgvuldig met de informatie omgaan. Daarom is een DPIA verplicht. 

Identiteitsfraude 

Dat is niet voor niets, want als gegevens van klanten – zoals een kopie van een paspoort – in verkeerde handen vallen, dan iemand bijvoorbeeld het slachtoffer wordt van identiteitsfraude. Er kunnen op jouw naam online spullen worden gekocht, zonder het zelf te betalen. Die rekening gaat namelijk naar het slachtoffer. Het is dan ook belangrijk dat organisaties van tevoren grondig uitzoeken of en zo ja, welke privacyrisico’s er mogelijk kunnen zijn. En om te bepalen wat er gedaan moet worden om deze risico’s te verkleinen of te voorkomen.  

Wat kunt u doen? 

Als tussenpersoon mag u geen bijzondere persoonsgegevens van klanten verwerken. Dit is anders bij Gevolmachtigd agenten. Zij zullen zelf moeten beoordelen of zij verplicht zijn om een DPIA uit te voeren. Leg uw beoordeling vast, zodat u kunt aantonen dat u de risico’s heeft geanalyseerd en wat de uitkomst hiervan is. Zorg daarbij dat de gegevens die u van klanten verwerkt beschermd zijn en veilig zijn opgeslagen. Wees goed voorbereid en voorkom een boete. 

Wat kan SVC voor u doen? 

SVC biedt een Privacy- en informatiebeveiligingsaudit aan waarin het beoordelen van een DPIA onderdeel van is. Daarnaast geeft deze audit u meer inzicht en handvatten om te voldoen aan wet- en regelgeving omtrent privacy en informatiebeveiliging. Ook hebben wij in ons Kennisportal de noodzakelijke documenten, procedures en beleidsstukken opgenomen, die u als bedrijf kunnen helpen om te voldoen aan de wet- en regelgeving. Onze Privacy Officer kan u adviseren en ondersteunen op het gebied van de AVG en andere relevante wetgeving. Wilt u meer informatie over de Privacy- en informatiebeveiligingsaudit of ons Kennisportal? Neemt u dan contact met ons op.