Boete voor creditcardbedrijf ICS na ontbrekende risicoanalyse

De Autoriteit Persoonsgegevens (AP) legt International Card Services (ICS) een boete op van 150.000 euro. ICS gebruikte op grote schaal persoonlijke gegevens van klanten zonder dat het bedrijf eerst een wettelijk verplichte DPIA deed, een analyse waarmee mogelijke privacyrisico’s in kaart worden gebracht. ICS overtrad daardoor de privacywet, de Algemene verordening gegevensbescherming (AVG).

Organisaties zijn in veel gevallen verplicht om een risicoanalyse uit te voeren, een data protection impact assessment (DPIA). Daarbij gaan zij van tevoren grondig na welke risico’s er kunnen ontstaan als ze privacygevoelige informatie van mensen gaan verzamelen en gebruiken. Zodat zij ook van tevoren al maatregelen kunnen nemen om de privacy van deze mensen te beschermen.

ICS heeft volgens de toezichthouder nagelaten om een DPIA uit te voeren voordat het bedrijf in 2019 begon met het digitaal identificeren van klanten in Nederland. ICS had wel een DPIA moeten doen, want bij de identiteitscontroles ging het om heel veel mensen: zo’n 1,5 miljoen.

De persoonlijke informatie die bij de identificatie werd gebruikt, was bovendien gevoelig van aard. Behalve om bijvoorbeeld naam, adres, telefoonnummer en e-mail van klanten, ging het onder meer om een foto die klanten van zichzelf moesten maken en opsturen via een mobiele telefoon of webcam. ICS gebruikte deze foto’s vervolgens om ze te vergelijken met de kopieën van de identiteitsbewijzen van klanten.