Op 18 december 2023 legde de Autoriteit Persoonsgegevens (AP) International Card Services B.V. (ICS) een boete op van 150.000 euro. De AP publiceerde dit besluit recent, op 15 januari 2024. Deze maatregel volgde op het grootschalige gebruik van persoonlijke klantgegevens door ICS zonder voorafgaande uitvoering van een verplichte Data Protection Impact Assessment (DPIA). Deze inbreuk op de Algemene verordening gegevensbescherming (AVG) roept ernstige vragen op over de privacybescherming van individuen. In dit blog werpen we een licht op de gevolgen van deze schending en de bredere kwesties rond gegevensbescherming.
Organisaties zijn in sommige gevallen verplicht om een grondige risicoanalyse uit te voeren voordat ze privacygevoelige informatie verwerken. Deze risicoanalyse wordt ook wel een DPIA genoemd. De AP heeft vastgesteld dat ICS, ondanks de verplichtingen onder de AVG, heeft nagelaten een DPIA uit te voeren, wat een overtreding is van artikel 35, eerste lid, AVG. Het verzuim van ICS om een DPIA uit te voeren bij het digitaal identificeren van 1,5 miljoen klanten in Nederland in 2019, wijst op een tekort aan proactieve bescherming van de privacy van betrokkenen.
Deze bevinding heeft ertoe geleid dat de de AP gebruik heeft gemaakt van haar bevoegdheid om een bestuurlijke boete op te leggen.
De schending van de AVG door ICS roept belangrijke vragen op over de naleving van gegevensbeschermingsvoorschriften, vooral gezien de omvang van de verwerkte persoonsgegevens en de gevoeligheid ervan. Artikel 35, eerste lid, AVG benadrukt het cruciale belang van het uitvoeren van een DPIA om risico’s voor de rechten en vrijheden van betrokkenen te identificeren en aan te pakken.
Concreet heeft ICS nagelaten systematisch de verwerking van gevoelige persoonsgegevens te beoordelen, met name in het Customer Re-Identification (CRA)-proces. Het ontbreken van een DPIA kan worden toegeschreven aan een verkeerde inschatting van ICS, waarbij de focus lag op fraudebestrijding en Wwft-naleving, zonder de vereisten van de AVG zelfstandig te beoordelen. Deze nalatigheid heeft waarschijnlijk geleid tot het niet uitvoeren van de DPIA.
In de context van de AVG wordt de ernst van de overtreding van ICS nader belicht door de specifieke schending van het niet uitvoeren van een DPIA. De AP heeft dit als een aanzienlijke schending vastgesteld. Een DPIA is een essentieel instrument dat bedrijven helpt bij het systematisch beoordelen en minimaliseren van de mogelijke risico’s die hun gegevensverwerking kan hebben op de privacy van betrokkenen.
Wat deze zaak benadrukt, is de kritieke rol van een DPIA, vooral gezien de aard van de gegevensverwerking door ICS, waarbij maar liefst 1,5 miljoen klanten betrokken zijn. Het niet uitvoeren van een DPIA in een dergelijk omvangrijk en gevoelig gegevensverwerkingsproces impliceert dat potentiële risico’s voor de privacy van deze betrokkenen mogelijk niet volledig zijn geïdentificeerd en aangepakt. Hierdoor ontstaat een aanzienlijk gevaar voor inbreuken op de privacy van klanten, aangezien de risico’s niet tijdig worden gemitigeerd.
In overeenstemming met de AVG benadrukt de AP dat organisaties, vooral bij grootschalige gegevensverwerking, verplicht zijn om een DPIA uit te voeren om de risico’s voor de privacy van betrokkenen te beoordelen en aan te pakken. Het niet naleven van deze verplichting wordt beschouwd als een ernstige schending van de AVG, zoals geïdentificeerd in het rapport van de AP tegen ICS.
De opgelegde boete van €150.000 door de AP weerspiegelt de ernst van de overtreding Bij de beoordeling van de ernst van de overtreding houdt de AP rekening met verschillende factoren. Eén daarvan is de aard, ernst en duur van de inbreuk, waarbij wordt vastgesteld dat het niet uitvoeren van een DPIA op zichzelf al een overtreding van de AVG vormt.
Belangrijk is ook de omvang van de verwerkte persoonsgegevens door ICS, met maar liefst 1,5 miljoen klanten als betrokkenen. Deze enorme hoeveelheid gegevens draagt bij aan de ernst van de overtreding. De AP merkt de verwerkte persoonsgegevens bovendien aan als gevoelig en van zeer persoonlijke aard, wat de zaak nog ernstiger maakt. De gegevens bestonden onder andere uit voornamen, achternamen, BSN en foto’van identiteitskaarten of paspoorten.
Echter, de AP houdt ook rekening met verzachtende factoren, zoals het feit dat ICS het proces van her-identificatie van klanten is gestart vanwege verplichtingen die voortvloeien uit de Wwft. De AP erkent dat ICS niet opzettelijk heeft nagelaten de DPIA uit te voeren, maar beoordeelt het als nalatigheid te wijten aan een verkeerde inschatting. De AP beschouwt het element van nalatigheid als “neutraal” in de totale beoordeling.
Het lange tijdsbestek tussen het publiceren van het onderzoeksrapport en het uitvaardigen van het handhavingsbesluit wordt ook als verzachtende factor aangemerkt. Gezien deze omstandigheden concludeert de AP dat de ernst van de inbreuk op een laag niveau moet worden gekwalificeerd.
Samengevat laat deze zaak tegen ICS zien hoe belangrijk het is om de AVG-richtlijnen na te leven, met name met betrekking tot het uitvoeren van DPIA’s, en illustreert het duidelijk de negatieve gevolgen van het nalaten hiervan.
Organisaties moeten niet alleen voldoen aan de wet, maar ook proactief werken aan de bescherming van persoonsgegevens en het minimaliseren van risico’s voor de privacy van betrokkenen om de betrokkenen te beschermen, de reputatie van de organisatie te behouden en de organisatie te beschermen tegen mogelijke negatieve aansprakelijkheden.
De opgelegde boete van €150.000 onderstreept de serieuze houding van de AP ten aanzien van het niet nakomen van dergelijke verplichtingen. Organisaties moeten zich bewust zijn van de potentiële financiële gevolgen en reputatieschade die kunnen voortvloeien uit het niet uitvoeren van DPIA’s, vooral wanneer grote hoeveelheden persoonsgegevens in het geding zijn.
Zijn de risico’s van de gegevensverwerkingen binnen jouw organisatie inzichtelijk? Twijfelt jouw organisatie of een DPIA nodig is of heeft jouw organisatie hulp nodig bij het uitvoeren van een DPIA? Neem vrijblijvend contact op met sales@cuccibu.nl. Wij vertellen graag hoe de experts van Cuccibu jouw organisatie kunnen helpen.
Reduce Risk, Create Value!