International Card Services (ICS), de creditcardaanbieder, is door de Autoriteit Persoonsgegevens (AP) beboet voor €150.000.
Dit gebeurde omdat ICS een misstap maakte: ze verwerkten persoonsgegevens van hun klanten op grote schaal zonder vooraf een grondige privacyrisicoanalyse te doen. Zo’n analyse is geen kleinigheid; het is een stevige eis vanuit de privacywetgeving, de AVG, om klantgegevens te beschermen.
In 2019 nam ICS de stap om de identiteit van ongeveer 1,5 miljoen klanten in Nederland digitaal te verifiëren. Ze verzamelden hiervoor niet alleen basisinformatie zoals namen en adressen, maar ook foto’s die klanten via hun telefoon of webcam moesten opsturen. Deze beelden werden naast kopieën van identiteitsbewijzen gelegd voor verificatie. Handig, maar niet zonder risico’s, en die risico’s hadden eerst beoordeeld moeten worden.
De AP, met Katja Mur aan het woord, benadrukt dat het belangrijk is om van tevoren maatregelen te nemen om klantprivacy te beschermen. Zoiets kan namelijk het risico op nare zaken zoals identiteitsfraude verminderen. De wet is er niet voor niets; het beschermt ons allemaal tegen mogelijke inbreuken op onze privacy.
ICS geeft aan dat ze de boete accepteren en dat ze sindsdien hun processen hebben verbeterd. Een risicoanalyse is alsnog uitgevoerd in 2021, waaruit bleek dat er geen verdere veiligheidsrisico’s waren. De boete had strenger kunnen zijn, maar omdat het hier een kwestie van nalatigheid betrof in plaats van opzettelijke overtreding, is de boete aan de mildere kant.
Wat kun je leren van deze boete?
Als ondernemer of bestuurder van een vereniging is het essentieel om de privacywetgeving serieus te nemen. Deze boete voor ICS, maar ook die voor Uber onderstrepen het belang van transparantie en zorgvuldigheid rondom persoonsgegevens. Wat kunnen we leren van deze kostbare misstappen? In dit artikel lees je enkele concrete en praktische lessen.