Kaartdienstverlener Geconfronteerd met Sanctie Wegens Ontbrekende Privacycontrole

Kaartdienstverlener Geconfronteerd met Sanctie Wegens Ontbrekende Privacycontrole

De Nederlandse Gegevensbeschermingsautoriteit heeft een sanctie van €150.000 opgelegd aan International Card Services B.V. (ICS) voor het niet uitvoeren van een verplichte Data Protection Impact Assessment (DPIA). Deze maatregel, een essentieel onderdeel van de Algemene Verordening Gegevensbescherming (AVG), is bedoeld om de privacyrisico’s te evalueren bij het gebruik van klantgegevens. ICS, een vooraanstaand creditcard bedrijf, wordt beschuldigd van het schenden van de privacywetgeving door deze procedure over te slaan.

Volgens de AVG zijn organisaties vereist om een DPIA uit te voeren wanneer ze persoonsgegevens verwerken die een mogelijk risico voor de privacy inhouden. Dit proces omvat een grondige analyse van de potentiële risico’s en maatregelen om de privacy van betrokkenen te waarborgen voordat hun gegevens worden verwerkt.

Betrokkenheid van 1,5 Miljoen Klanten

In 2019 begon ICS met het digitaal verifiëren van de identiteit van hun Nederlandse klanten zonder voorafgaande DPIA. Deze verificatie betrof ongeveer 1,5 miljoen klanten, waarbij gevoelige persoonsgegevens werden gebruikt, waaronder namen, adressen, telefoonnummers, e-mails en zelfs klantfoto’s. Deze foto’s werden vergeleken met kopieën van identiteitsbewijzen, wat een potentieel risico voor privacyinbreuken vormt.

Financiële instellingen zoals ICS zijn wettelijk verplicht om de identiteit van hun klanten vast te stellen, maar moeten tegelijkertijd uiterst zorgvuldig omgaan met de verzamelde gegevens. De verplichting om een DPIA uit te voeren is daar een integraal onderdeel van.

Waarschuwing voor Identiteitsfraude

Katja Mur, bestuurslid van de Nederlandse Gegevensbeschermingsautoriteit, benadrukt het belang van voorafgaande risicoanalyses. “De wettelijke verplichting voor organisaties om vooraf de privacyrisico’s te beoordelen is cruciaal om misbruik van persoonsgegevens, zoals identiteitsfraude, te voorkomen,” zegt Mur. Ze wijst erop dat nalatigheid op dit vlak kan leiden tot ernstige gevolgen voor individuen, zoals ongeautoriseerde transacties onder hun naam.

Vervolgstappen

ICS heeft de mogelijkheid om bezwaar te maken tegen de opgelegde boete. Dit incident onderstreept het groeiende belang van gegevensbescherming binnen de financiële sector en de noodzaak voor bedrijven om te voldoen aan de steeds strengere regelgeving omtrent privacy en gegevensbeheer.