Creditcardbedrijf ICS beboet voor nalaten privacycontrole

De Autoriteit Persoonsgegevens (AP) heeft creditcardbedrijf ICS een boete van 150.000 euro gegeven. Het bedrijf gebruikte veel persoonlijke gegevens zonder eerst een verplichte privacycontrole te doen. Daarmee overtrad ICS de privacywet, zegt de AP.

ICS verzorgt de uitgifte, administratie en controle van creditcards. Onder meer ABN Amro en American Express maken gebruik van de diensten van het bedrijf.

In 2019 begon ICS met het digitaal controleren van ongeveer 1,5 miljoen klanten in Nederland. Daarbij gebruikten ze gevoelige informatie, zoals naam, adres, telefoonnummer en e-mail, en vroegen ze klanten om foto's van zichzelf te maken en op te sturen via mobiele telefoons of webcams. ICS gebruikte deze foto's om ze te vergelijken met kopieën van identiteitsbewijzen.

Heel voorzichtig

Financiële instellingen, zoals ICS, moeten wettelijk de identiteit van klanten vaststellen, maar ze moeten ook heel voorzichtig zijn met de informatie die ze gebruiken. Doordat ICS geen extra privacywaarborg inbouwde, schond het bedrijf volgens de AP zijn zorgvuldigheidsplicht.

'Organisaties zijn niet voor niets wettelijk verplicht om van tevoren al te kijken welke risico's er zijn. Als een kopie van een paspoort in verkeerde handen valt, kan men slachtoffer worden van identiteitsfraude", zegt Katja Mur, bestuurslid van de AP.

Het AP kan boetes opleggen tussen de 120.000 en 500.000 euro. Omdat het hierbij om nalatigheid ging, en niet om opzet, is de boete voor ICS relatief mild.

ICS zegt in een reactie tegen de NOS dat het niet in beroep gaat tegen de sanctie. ICS erkent dat het steken heeft laten vallen, maar voegt eraan toe dat de zaak sindsdien is aangescherpt. "In 2021 is die risicoanalyse alsnog uitgevoerd en er zijn geen veiligheidsrisico's naar boven gekomen", zegt een woordvoerder.