Deze week legde de Autoriteit Persoonsgegevens (AP) een boete van € 150.000,- op aan een bekende creditcardmaatschappij. Reden? Er was geen Data Protection Impact Assessment (DPIA) uitgevoerd. In deze blog praten we je bij over de boete. We leggen ook uit wat een DPIA is, en wat de rol van de functionaris gegevensbescherming (FG) is bij de uitvoering van een DPIA.
Boete voor ICS
De Autoriteit Persoonsgegevens (AP) ontving van consumenten diverse klachten over het bedrijf International Card Services (ICS). De klachten en signalen zijn bij de AP binnengekomen nadat ICS in 2019 was gestart met het opnieuw (online) identificeren van haar klanten met het ‘identificatie- en verificatieproces’. Zo’n 1,5 miljoen klanten moesten dat proces doorlopen. En hiervoor werden allerlei persoonsgegevens verwerkt. Denk aan de naam, adres- en contactgegevens maar ook een foto. De foto werd vervolgens gebruikt om te controleren of de persoon overeenkwam met wat er op het al eerder ingestuurde identiteitsbewijs stond. Het was niet verkeerd wat ICS deed, want financiële instellingen zijn namelijk wettelijk verplicht om de identiteit van klanten vast te stellen. En vaststelling kun je doen door het gebruik van een foto. Maar waar ICS wel de fout in is gegaan, is dat er geen DPIA was uitgevoerd op het proces alvorens ze hiermee startten. Het gevolg is dat de AP een boete van € 150.000,- heeft opgelegd.
Wanneer is een DPIA verplicht?
In de Algemene verordening gegevensbescherming (AVG) zijn enkele voorbeelden opgenomen van situaties waarin een DPIA verplicht is:
- Grootschalige besluiten worden genomen gebaseerd op geautomatiseerde verwerkingen van persoonsgegevens, zoals bij profilering
- Grootschalige verwerking van bijzondere persoonsgegevens of strafrechtelijke gegevens
- Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten
Daarnaast heeft de AP een lijst vastgesteld met allerlei onderwerpen waarvoor uitvoering van een DPIA verplicht is.
Een stelregel voor organisaties is dat wanneer op grote schaal bijzondere of gevoelige (zoals financiële) persoonsgegevens worden verwerkt, een DPIA uitgevoerd moet worden. Wanneer organisaties nieuwe systemen of technologieën gaan gebruiken, is eveneens een DPIA nodig. Het is namelijk belangrijk om na te gaan welke persoonsgegevens worden verwerkt, wat daar vervolgens mee gebeurt en in hoeverre privacy van betrokkenen gewaarborgd wordt. Op die manier kunnen eventuele risico’s in kaart worden gebracht, en kunnen organisaties handelen om de risico’s te verkleinen.
De rol van de FG
Wanneer een organisatie een FG heeft aangesteld, zal de FG betrokken moeten worden bij de DPIA. Het adviseren over een DPIA is immers een van de wettelijke taken van de FG. Uit het boetebesluit van de AP inzake de ICS-zaak volgt dat de FG niet betrokken is geweest bij het project. De FG heeft ook geen advies uitgebracht over het ‘identificatie- en verificatieproces’. Ook dit nam de AP ICS kwalijk, en dit is dan ook meegenomen in de besluitvorming rondom de boete.
Twijfels over het wel of niet moeten uitvoeren van een DPIA? Of hulp nodig bij het uitvoeren van een DPIA? Neem gerust contact op met ICTRecht. Wij ondersteunen hier graag bij.
