Autoriteit Persoonsgegevens legt ICS boete op
De Autoriteit Persoonsgegevens (AP) heeft ICS een bestuurlijke boete opgelegd van 150.000 euro. ICS krijgt deze boete voor het niet tijdig uitvoeren van een Data Protection Impact Assessment (DPIA). De DPIA had uitgevoerd moeten worden voor de start van het klant her-identificatieproces van ICS.
Klant her-identificatieproces
In 2019 is ICS een her-identificatieproces gestart op haar gehele klantenbestand. Dit om te voorkomen dat creditcards worden gebruikt voor financiële criminaliteit, zoals witwassen of terrorismefinanciering. Daarom is het belangrijk dat ICS goed weet wie al haar klanten zijn, waar geld vandaan komt en waar het naartoe gaat. Het goed kennen van klanten is voor banken bovendien een wettelijke verplichting (Wet ter voorkoming van witwassen en financieren van terrorisme).
Wél risicobeoordelingen gedaan
Hoewel de boete wellicht anders doet vermoeden, heeft ICS tijdens de inrichting van het klant her-identificatieproces in 2019 wel degelijk een uitgebreide risico beoordeling uitgevoerd. Dit wordt ook in het uitgebreide boetebesluit van AP benoemd. Hierin is ook ruimschoots aandacht geweest voor privacy risico’s. Een specifieke DPIA is destijds helaas niet uitgevoerd waar dat wel had gemoeten. ICS betreurt en erkent dit. In 2020 is het proces om de noodzaak voor het uitvoeren van een specifieke DPIA vast te stellen aangescherpt.
Altijd zorgvuldig met gegevens omgegaan
In 2021 is alsnog een DPIA uitgevoerd op het klant (her-)identificatieproces. Uit deze DPIA zijn geen aanvullende privacy risico’s vastgesteld. Er zijn door de Autoriteit Persoonsgegevens ook geen privacy overtredingen in het proces vastgesteld. Dit betekent dat ICS al zorgvuldig naar privacy risico’s had gekeken en op de juiste, veilige manier met (privacy gevoelige) gegevens is omgegaan.
Argumentatie en besluit Autoriteit Persoonsgegevens.