Boete voor creditcardbedrijf ICS na ontbrekende risicoanalyse
De Autoriteit Persoonsgegevens, AP, legt International Card Services B.V., ICS, een boete op van 150.000 euro. ICS gebruikte op grote schaal persoonlijke gegevens van klanten zonder dat het bedrijf eerst een wettelijk verplichte DPIA deed, een analyse waarmee mogelijke privacyrisico s in kaart worden gebracht. ICS overtrad daardoor de privacywet, de Algemene verordening gegevensbescherming, AVG.
Organisaties zijn in veel gevallen verplicht om een risicoanalyse uit te voeren, een data protection impact assessment, DPIA. Daarbij gaan zij van tevoren grondig na welke risico s er kunnen ontstaan als ze privacygevoelige informatie van mensen gaan verzamelen en gebruiken. Zodat zij ook van tevoren al maatregelen kunnen nemen om de privacy van deze mensen te beschermen.
1,5 miljoen klanten
ICS heeft nagelaten om een DPIA uit te voeren voordat het bedrijf in 2019 begon met het digitaal identificeren van klanten in Nederland. ICS had wel een DPIA moeten doen, want bij de identiteitscontroles ging het om heel veel mensen: zo n 1,5 miljoen.
De persoonlijke informatie die bij de identificatie werd gebruikt, was bovendien gevoelig van aard. Behalve om bijvoorbeeld naam, adres, telefoonnummer en e mail van klanten, ging het onder meer om een foto die klanten van zichzelf moesten maken en opsturen via een mobiele telefoon of webcam. ICS gebruikte deze foto s vervolgens om ze te vergelijken met de kopieen van de identiteitsbewijzen van klanten.
Verder lezen bij de bronLees ons boek
Gemeenten. Bewustzijn. Privacy.
Nieuwsbrief
Deze versturen we 3-4x per jaar.
Recente blogs
Meer recente berichten
EU dataplatform voor medische gegevens stap dichterbij | Verder lezen | |
Brancheorganisaties slaan alarm om nieuwe eisen cyberveiligheid | Verder lezen | |
NSA slaat alarm over risico s van AI voor cybersecurity | Verder lezen | |
Aanmeldplicht voor Dodenherdenking op de Dam, organisatie zegt bezoekers niet te screenen | Verder lezen | |
Eerste Hulp bij Datalek: bewaar minder persoonlijke gegevens | Verder lezen | |
Europese bedrijven niet opgezet met minder strenge cloudwetgeving | Verder lezen | |
Cyberaanval op gemeenten Voorschoten en Wassenaar afgeslagen | Verder lezen | |
EDPB: Toestemmings of betalen modellen moeten echte keuze bieden | Verder lezen | |
Zoom lost laatste privacyrisico s op voor gebruik in onderwijs | Verder lezen | |
Blijf waakzaam op infiltratiepogingen van open source projecten | Verder lezen |