De Autoriteit Persoonsgegevens (AP) heeft ICS onlangs een sanctie opgelegd. De creditcardmaatschappij krijgt een boete van 150.000 euro wegens het overtreden van de AVG bij de digitale identificatie van klanten.
DPIA
ICS gebruikte op grote schaal persoonlijke data van klanten maar verzuimde eerst een Data Protection Impact Assessment (DPIA) uit te voeren. De creditcardmaatschappij startte in 2019 met digitale identificatie van zo’n 1,5 miljoen klanten in Nederland. Daarbij moesten klanten onder meer een foto van zichzelf maken via een mobiele telefoon of webcam en deze opsturen naar ICS. Het bedrijf gebruikte deze foto’s vervolgens om ze te vergelijken met de kopieën van de identiteitsbewijzen van klanten.
Identiteitsfraude
Financiële instellingen zijn volgens de wet verplicht om de identiteit van hun klanten te controleren. “Maar ze moeten wel uiterst zorgvuldig met de informatie omgaan”, verklaart de AP. Dat betekent onder meer dat een DPIA vereist is. “Organisaties zijn niet voor niets wettelijk verplicht om van tevoren al te kijken welke risico’s jij loopt als ze jouw gegevens gaan gebruiken. Want als gegevens van jou – zoals een kopie van je paspoort – in verkeerde handen vallen, kun je bijvoorbeeld het slachtoffer worden van identiteitsfraude. Iemand kan dan op jouw naam online spullen kopen zonder zelf te betalen”, aldus AP-bestuurslid Katja Mur.
Klik hier voor het bericht van de AP.