ICS verspeelt krediet vanwege niet uitvoeren DPIA

International Card Services (ICS), een dochterbedrijf van ABN Amro, heeft een flinke boete gekregen van de Autoriteit Persoonsgegevens van €150.000 euro. ICS had geen data protection impact assessment (DPIA) uitgevoerd bij een nieuwe verwerking van persoonsgegevens, terwijl dat wel verplicht was. In dit artikel leggen wij uit wat er aan de hand was, wanneer een DPIA verplicht is en waarom ICS een boete kreeg.

Wat was er aan de hand?

ICS is een onderneming die debit- en creditcards uitgeeft. Op grond van de wet zijn zulke organisaties verplicht om hun klanten te identificeren. In 2019 heeft ICS besloten om haar klanten opnieuw te identificeren. Dat gebeurde door middel van het identificatie- en verificatieproces (ID&V), en daarbij werd er gebruik gemaakt van een bepaalde applicatie. Dat ging niet helemaal goed. Naar aanleiding van klachten van klanten van ICS heeft de Autoriteit Persoonsgegevens, de Nederlandse toezichthouder op het gebied van privacy, een onderzoek ingesteld naar dit proces. Reden voor het onderzoek was het ontbreken van een zogenaamde data protection impact assessment (DPIA). Een DPIA is een instrument waarbij privacyrisico’s in kaart kunnen worden gebracht. Aan de hand van de uitkomsten van de DPIA, kunnen risicobeperkende maatregelen genomen worden. In sommige gevallen is zo’n DPIA verplicht. Het AP was van oordeel dat in het kader van het ID&V een DPIA ook verplicht was. ICS gaf aan dat daarvoor gebruik gemaakt was van een bepaald proces, het Change Risk Assessment (CRA). Met het CRA-proces worden risico’s in kaart gebracht, gemitigeerd en gemonitord. Onderdeel van het CRA-proces is een Privacy Impact Assessment. De AP was echter van mening dat het CRA niet kan gelden als een DPIA, en dat daarom ICS een overtreding op de AVG begaan heeft. Daarvoor krijgt ICS een boete van €150.000 euro.

Wanneer is een DPIA verplicht?

In artikel 35 van de AVG staat dat een DPIA verplicht is als een verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. In nadere beleidsregels, onder andere van de AP en de European Data Protection Board (EDPB), is uitgewerkt wanneer er sprake is van een hoog risico verwerking. Daarvoor moet aan twee van de volgende negen criteria gedaan worden:

Evaluatie of scoretoekenning	Gevoelige gegevens of gegevens van zeer persoonlijke aard	Gegevens met betrekking tot kwetsbare personen
Geautomatiseerde besluitvorming met rechtsgevolg	Op grote schaal verwerkte gegevens	Innovatief gebruik of innovatieve toepassing van nieuwe technologische toepassingen
Stelselmatige monitoring	Matching of samenvoeging van datasets	de situatie waarin als gevolg van de verwerking zelf "betrokkenen [...] een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst"

In het geval van ICS werd aan twee criteria voldaan. Het gaat om een verwerking op grote schaal, omdat alle 1,5 miljoen klanten van ICS opnieuw geïdentificeerd moesten worden. Daarnaast moesten deze klanten zich identificeren aan de hand van gevoelige gegevens die op een identiteitsbewijs staan, zoals BSN en pasfoto. ICS had dus een DPIA moeten uitvoeren, voordat ze begonnen met het identificatieproces. De ICS stelde dat zij dat gedaan had door het CRA-proces. De vraag was echter of het CRA-proces wel gezien kon worden als een DPIA.

Aan welke eisen moet een DPIA voldoen?

Als er een DPIA uitgevoerd moet worden, moet deze ook aan een aantal vereisten doen:

1. Er wordt een systematische beschrijving van de verwerking gegeven;
2. De noodzaak en evenredigheid van de verwerking worden beoordeeld;
3. De risico’s voor de rechten en vrijheden van personen worden in kaart gebracht;
4. De belanghebbenden en de functionaris gegevensbescherming (FG) worden betrokken, bijvoorbeeld door middel van advies of het vragen naar de mening.

Het CRA-proces dat gebruikt was, voldeed niet aan deze vereisten. Dit proces bestond weliswaar onder andere uit een privacy impact assessment, maar daarmee werd alleen voldaan aan vereiste 3. Het CRA-proces geeft geen systematische beschrijving van de werking, de noodzaak en evenredigheid van de verwerking werden niet beoordeeld en ook is niet gebleken dat de FG of belanghebbenden geraadpleegd zijn. Daarmee voldeed het CRA-proces niet aan alle vereisten van een DPIA. De AP concludeerde dan ook dat het ICS geen DPIA heeft uitgevoerd. ICS kreeg daarom een boete.

Wat leren we van dit boetebesluit?

Het is belangrijk voldoende aandacht te besteden aan een goede DPIA. Een DPIA helpt bij het verkrijgen van overzicht bij de risico’s voor personen van een voorgenomen verwerking, ook risico’s die een organisatie van tevoren niet heeft kunnen voorzien. Het minimaliseren van risico’s voor personen, met name met betrekking tot hun privacyrechten, is daarbij het belangrijkste doel. Daarnaast voorkomt het boetes en aansprakelijkheid. Organisaties moeten er dus voor zorgen dat ze helder hebben wanneer een DPIA uitgevoerd moet worden en aan welke eisen die moet voldoen. Een simpele risicobeoordeling is daarbij niet voldoende. Heeft u vragen over dit onderwerp? Neem dan gerust contact met ons op.