Creditcardmaatschappij ICS krijgt een AVG-boete van de Nederlandse Autoriteit Persoonsgegevens. Het bedrijf gebruikte gevoelige persoonsgegevens van klanten, zonder eerst een wettelijk verplichte analyse voor privacyrisico's uit te voeren.
De AVG-boete bedraagt 150.000 euro, zo meldt de Autoriteit Persoonsgegevens op dinsdag. ICS krijgt die boete opgelegd omdat het 'op grote schaal persoonlijke gegevens van klanten' gebruikte zonder een DPIA-risicoanalyse te hebben uitgevoerd. Met een dergelijke analyse moeten bedrijven in kaart brengen welke privacyrisico's gepaard gaan met het verzamelen van bepaalde persoonlijke gegevens. Het uitvoeren van een DPIA is verplicht onder artikel 35 lid 1 van de AVG.
De AP oordeelt dat ICS in 2019 een DPIA had moeten uitvoeren, omdat het toen begon met het digitaal identificeren van nieuwe klanten in Nederland. Volgens de AP deed het bedrijf dat met ongeveer 1,5 miljoen mensen. Het ging daarbij ook om gevoelige gegevens, zo stelt de privacytoezichthouder. Naast namen, adressen, telefoonnummers en e-mailadressen, ging het bijvoorbeeld om foto's van klanten. Klanten moeten foto's van zichzelf ter identiteitsverificatie opsturen naar ICS bij het aanvragen van een creditcard. ICS gebruikte die foto's om ze te vergelijken met kopieƫn van de identiteitsbewijzen van klanten.
Creditcardmaatschappijen zijn verplicht om de identiteit van klanten te verifiƫren voordat ze in aanmerking mogen komen voor een creditcard. ICS mag dus dergelijke gegevens verzamelen, maar is wel verplicht om zorgvuldig met die gegevens om te gaan. De creditcardmaatschappij had daarom onder meer een DPIA moeten uitvoeren.
ICS kan nog in beroep gaan tegen de boete, maar zegt tegen NOS dat niet te doen. Het bedrijf erkent steken te hebben laten vallen, maar zegt dat de risicoanalyse in 2021 alsnog is uitgevoerd. Daarbij kwamen volgens ICS geen privacyrisico's naar boven.
Source: Tweakers.net