Boete voor creditcardbedrijf ICS na ontbreken privacycontrole

Door · 17/01/2024

hangslot databescherming

De Autoriteit Persoonsgegevens (AP) legt creditcardbedrijf ICS een boete op van 150.000 euro. Het bedrijf gebruikte op grote schaal persoonlijke gegevens van klanten zonder dat het bedrijf eerst een wettelijk verplicht onderzoek deed naar de privacyrisico’s

Het creditcardbedrijf overtrad daardoor de privacywet, de Algemene verordening gegevensbescherming (AVG). Die wet stelt onder andere dat organisaties in veel gevallen verplicht zijn om een risicoanalyse uit te voeren, een data protection impact assessment (DPIA). Daarbij gaan zij van tevoren grondig na welke risico’s er kunnen ontstaan als ze privacygevoelige informatie van mensen gaan verzamelen en gebruiken. Zo kunnen zij ook van tevoren al maatregelen nemen om de privacy van deze mensen te beschermen.

1,5 miljoen klanten

ICS liet na om deze DPIA uit te voeren voordat het bedrijf in 2019 begon met het digitaal identificeren van klanten in Nederland. Het bedrijf had dit wel moeten doen, want bij de identiteitscontroles ging het om heel veel mensen: zo’n 1,5 miljoen.

De persoonlijke informatie die bij de identificatie werd gebruikt, was bovendien gevoelig van aard. Behalve om bijvoorbeeld naam, adres, telefoonnummer en e-mail van klanten, ging het onder meer om een foto die klanten van zichzelf moesten maken en opsturen via een mobiele telefoon of webcam. ICS gebruikte deze foto’s vervolgens om ze te vergelijken met de kopieën van de identiteitsbewijzen van klanten.

Financiële instellingen zijn wettelijk verplicht om de identiteit van hun klanten vast te stellen en mogen daarvoor zulke informatie gebruiken. Maar ze moeten wel heel zorgvuldig met de informatie omgaan.

Identiteitsfraude

Katja Mur, bestuurslid van de AP: “Organisaties zijn niet voor niets wettelijk verplicht om van tevoren al te kijken welke risico’s jij loopt als ze jouw gegevens gaan gebruiken. Want als gegevens van jou – zoals een kopie van je paspoort – in verkeerde handen vallen, kun je bijvoorbeeld het slachtoffer worden van identiteitsfraude. Iemand kan dan op jouw naam online spullen kopen zonder zelf te betalen. Daarom is het belangrijk dat organisaties van tevoren grondig uitzoeken of er privacyrisico’s zijn. En zo ja, dat ze daar wat tegen doen. Privacyproblemen voorkomen is beter dan genezen.”

Lees ook:
  • Politie schendt privacy bij Schengen Informatiesysteem (SIS)
  • Stappenplan: wat te doen bij een supply chain-aanval

 

Tags:

Gerelateerde berichten...

Volg ons:

Uitgelicht

Van datastrategie naar succesvolle AI-toepassing: de ervaringen van Schiphol

 Wat is er nodig om de mogelijkheden van Artificial Intelligence (AI) daadwerkelijk in de praktijk te benutten? Maarten van den ...

RGF Staffing voert succesvolle ‘openhartoperatie’ uit op haar applicatielandschap

Een complex applicatielandschap met veel maatwerk vereenvoudigen en migreren naar standaardapplicaties. Het is de wens van veel bedrijven, maar bijna ...

Congresaanbod Heliview 2024

Heliview organiseert ook in 2024 weer verschillende congressen met als doel duurzame contacten tot stand te brengen en kennis te ...

Tim Verbrugge (L) en Mike Bergman (R)

Haal meer uit Teams

Sinds we in 2020 wereldwijd tot online communicatie werden gedwongen, zijn oplossingen als Teams uitgegroeid tot de nieuwe overlegstandaard. Toch ...

april, 2024

» Volledige kalender
» Uw event aanmelden

Meer

» Meer columns

» Meer bedrijfsnieuws