image

AP beboet creditcardbedrijf ICS voor overtreden AVG bij digitale identificatie

dinsdag 16 januari 2024, 11:01 door Redactie, 20 reacties

De Autoriteit Persoonsgegevens (AP) heeft creditcardmaatschappij ICS een boete van 150.000 euro opgelegd wegens het overtreden van de AVG bij de digitale identificatie van klanten. ICS gebruikte op grote schaal persoonlijke gegevens van klanten zonder dat het bedrijf eerst een wettelijk verplichte DPIA had uitgevoerd, een analyse waarmee mogelijke privacyrisico’s in kaart worden gebracht.

ICS begon in 2019 met het digitaal identificeren van zo'n 1,5 miljoen klanten in Nederland. Bij de identificatie werd gevoelige informatie gebruikt. Behalve om bijvoorbeeld naam, adres, telefoonnummer en e-mail van klanten, ging het onder meer om een foto die klanten van zichzelf moesten maken en opsturen via een mobiele telefoon of webcam. ICS gebruikte deze foto’s vervolgens om ze te vergelijken met de kopieën van de identiteitsbewijzen van klanten.

Financiële instellingen zijn wettelijk verplicht om de identiteit van hun klanten vast te stellen en mogen daarvoor zulke informatie gebruiken. "Maar ze moeten wel uiterst zorgvuldig met de informatie omgaan", aldus de AP. Dat houdt bijvoorbeeld in dat een DPIA verplicht is. ICS heeft nagelaten om een DPIA uit te voeren voordat het met de identificatie begon, waarmee de creditcardmaatschappij de Algemene verordening gegevensbescherming (AVG) heeft overtreden.

"Organisaties zijn niet voor niets wettelijk verplicht om van tevoren al te kijken welke risico’s jij loopt als ze jouw gegevens gaan gebruiken. Want als gegevens van jou – zoals een kopie van je paspoort – in verkeerde handen vallen, kun je bijvoorbeeld het slachtoffer worden van identiteitsfraude. Iemand kan dan op jouw naam online spullen kopen zonder zelf te betalen", zegt AP-bestuurslid Katja Mur. "Daarom is het belangrijk dat organisaties van tevoren grondig uitzoeken of er privacyrisico’s zijn. En zo ja, dat ze daar wat tegen doen. Privacyproblemen voorkomen is beter dan genezen." ICS kan nog bezwaar maken tegen de boete.

Reacties (20)
16-01-2024, 11:07 door Anoniem
Toen ze met die foto's begonnen ben ik met ICS gestopt
Ik voelde wel aan dat dit te ver ging
Ik kan nog steeds niet mijn gegegevens verwijderen bij ICS ondanks verschillende verzoeken
ICS zit ook in het WEF clubje
Bij ING kon ik zonder dat gedoe een credit card krijgen
16-01-2024, 11:26 door Anoniem
Mosterd na de maaltijd.
Ik heb me d'r tegen verzet, maar dat mocht niet baten, dat is nu dan ook de reden dat ik geen visa kaart meer in bezit heb.
Als AP nou eerder/sneller had ingegrepen en ICS direct had opgedragen te stoppen met deze illegale manier van identificeren..
16-01-2024, 11:44 door Briolet
ging het onder meer om een foto die klanten van zichzelf moesten maken en opsturen via een mobiele telefoon of webcam. ICS gebruikte deze foto’s vervolgens om ze te vergelijken met de kopieën van de identiteitsbewijzen van klanten.

Zoiets werkt toch nooit als controle. Als ik de boel wil belazeren, zou ik eerst een kopie paspoort maken waar ik een foto op plak van de persoon die ik later ook moet laten zien. Dat is het leuke van digitale kopietje paspoort: je kunt er alles aan veranderen voordat je het opstuurt. Alle echtheidskenmerken zijn toch al wel bij een kopie.
16-01-2024, 12:50 door Anoniem
Dit moet je echt even twee keer tweemaal lezen...

Financiële instellingen zijn wettelijk verplicht om de identiteit van hun klanten vast te stellen en mogen daarvoor zulke informatie gebruiken.

...iets wat wij allemaal wel weten, en zonder twijfel in de Staatcourant gestaan zal hebben, en vast nog wel in detail ook.
En:

"Maar ze moeten wel uiterst zorgvuldig met de informatie omgaan", aldus de AP. Dat houdt bijvoorbeeld in dat een DPIA verplicht is. ICS heeft nagelaten om een DPIA uit te voeren voordat het met de identificatie begon, waarmee de creditcardmaatschappij de Algemene verordening gegevensbescherming (AVG) heeft overtreden.

Dus de wet eist dat dus, en in praktijk vooral de toezichthouder; onze centrale bank in Nederland dus.
Wat nu als De Nederlandsche Bank aan de AP meld dat dat een wettelijke verplichting is, en al hun banklicentiehouders dat (moeten) doen - onder auspiciën van De Nederlandsche Bank?
(tenzij er ook maar iemand is die denk dat je een identiteit kunt vaststellen zonder gegevens)

Daarnaast, omdat de AP niet geinformeerd is, is dat nu werkelijk inherent aan onzorgvuldigheid met die gegevens?
Bij ISC zitten bepaald geen pannekoeken, dus "geen wettelijk verplichte DPIA" lijkt mij ook een beetje overdramatisch geformuleerd. Lijkt mij een beetje een buhne-gevecht, waarbij ICS onredelijk slecht wordt afgeschilderd.
16-01-2024, 13:41 door majortom - Bijgewerkt: 16-01-2024, 13:44
Door Briolet:
ging het onder meer om een foto die klanten van zichzelf moesten maken en opsturen via een mobiele telefoon of webcam. ICS gebruikte deze foto’s vervolgens om ze te vergelijken met de kopieën van de identiteitsbewijzen van klanten.

Zoiets werkt toch nooit als controle. Als ik de boel wil belazeren, zou ik eerst een kopie paspoort maken waar ik een foto op plak van de persoon die ik later ook moet laten zien. Dat is het leuke van digitale kopietje paspoort: je kunt er alles aan veranderen voordat je het opstuurt. Alle echtheidskenmerken zijn toch al wel bij een kopie.
Het gaat er bij dit soort maatschappijen dan ook niet om of eea klopt, maar dat ze het groene vinkje hebben gehaald (liefst zo goedkoop mogelijk). Compliancy is niet hetzelfde als security.

Overigens heb ik een CC bij ICS, maar tot op heden geen identificatieverzoek gehad. Als dat alleen online kan ben ik ook meteen weg.
16-01-2024, 14:39 door Anoniem
Laatst een smsje ontvangen van iest dat zich "ICS" noemt, dat ik een linkje moet volgen om mijn account te valideren.
Linkje in smsjes volgen doe ik uit principe al niet.
Ik weet van geen account bij ICS. Mijn cc loopt via ING. En in die app is daar geen verzoek voor gekomen.
Dus dat smsje maar genegeerd.

Mocht het toch ICS geweest zijn, dan sturen ze maar een brief of berichtje via ING. Daar doe ik zaken mee. ICS is op zijn hoogst (IMHO) een tussenpersoon.
16-01-2024, 16:13 door Anoniem
Door Anoniem: Laatst een smsje ontvangen van iest dat zich "ICS" noemt, dat ik een linkje moet volgen om mijn account te valideren.
Linkje in smsjes volgen doe ik uit principe al niet.
Ik weet van geen account bij ICS. Mijn cc loopt via ING. En in die app is daar geen verzoek voor gekomen.
Dus dat smsje maar genegeerd.

Mocht het toch ICS geweest zijn, dan sturen ze maar een brief of berichtje via ING. Daar doe ik zaken mee. ICS is op zijn hoogst (IMHO) een tussenpersoon.
Oh ja zo dom zijn ze wel. Ik had vorige jaar ook zo situatie klant kwam bij ons met phising melding over ICS bleek het echt ICS te zijn en waren ze verbaasd dat we mailing van hun hadden geblokkeerd.

Oh trouwens die fotos bewaren ze 7 jaar. Twee jaar langer dan zelfs de Wwft verplicht.
Ik vermoedt dat een DPIA heel wat extra onkunde nog aan het licht gaat brengen.
16-01-2024, 16:24 door Anoniem
Het probleem is dat alles verschoven wordt... Banken moeten gewoon met geld bezig zijn, en de overheids instanties, als de FIOD moeten maar uitzoeken of dat illegaal was of niet...

Nu krijg ik elke maand een blokkade omdat ik geld over maak naar mijn prepaid credit card in duitsland.
Want daar financier je terrorisme mee natuurlijk... tja, klopt wel, als je starbucks/jumbo/AH en de cateraar als een criminele organisatie ziet.
Met de prijzen die ze voor koffie/boodschappen/boodschappen/lunch vragen is het wel crimineel eigenlijk.
16-01-2024, 18:34 door Anoniem
Door Anoniem: Toen ze met die foto's begonnen ben ik met ICS gestopt

[..]
Bij ING kon ik zonder dat gedoe een credit card krijgen

Natuurlijk , omdat je bij de ING het gedoe al gedaan had voor je bankrekening.
Ook de ING heeft je identiteit moeten vaststellen.
16-01-2024, 18:53 door karma4
Door Briolet: Zoiets werkt toch nooit als controle. Als ik de boel wil belazeren, zou ik eerst een kopie paspoort maken waar ik een foto op plak van de persoon die ik later ook moet laten zien. Dat is het leuke van digitale kopietje paspoort: je kunt er alles aan veranderen voordat je het opstuurt. Alle echtheidskenmerken zijn toch al wel bij een kopie.

Gaat werken, een kopietje op zich is geen bewijs.
De echtheidskenmerken op het ID is 1, het vergelijk foto en bewegend beeld is 2.

Door Anoniem: Oh trouwens die fotos bewaren ze 7 jaar. Twee jaar langer dan zelfs de Wwft verplicht.
Ik vermoedt dat een DPIA heel wat extra onkunde nog aan het licht gaat brengen.

De onkunde zit eerder bij de AP. Niet op de hoogte van wettelijke verplichtingen en zichzelf als ware Big Brother boven alles zien te plaatsen. De 7 jaar is wel degelijk een behoorlijke minimumtermijn. De bedrijfsmatige verplichte bewaartermijn voor belangrijke bewijsstukken is standaard 7 jaar.
16-01-2024, 18:56 door karma4
Door Anoniem: Nu krijg ik elke maand een blokkade omdat ik geld over maak naar mijn prepaid credit card in duitsland. Want daar financier je terrorisme mee natuurlijk... tja, klopt wel, als je starbucks/jumbo/AH en de cateraar als een criminele organisatie ziet. ....
Betreft ook abnormaal gedrag als je dat zo doet. Een prepaid credit card voor normaal bankverkeer is niet gangbaar.
Je bank doet dat gewoon zonder problemen.
Voor buiten de EU / EEG komt er meer bij kijken. Heb je dan een tussenstation dan is het ander verhaal.
16-01-2024, 21:30 door Anoniem
Ik ben helemaal klaar met dat ICS. Elke keer mailen ze dat ik me moet identificeren omdat mn creditcard verloopt. Maar ik zit niet eens bij ICS!
16-01-2024, 23:55 door Anoniem
Door Anoniem: Ik ben helemaal klaar met dat ICS. Elke keer mailen ze dat ik me moet identificeren omdat mn creditcard verloopt. Maar ik zit niet eens bij ICS!

Zeker ? ICS doet kaarten met branding voor heel partijen, inclusief diverse banken.

Als je echt niks bij ICS hebt is Rishi uit Mumbay heel ongelukkig dat je nog steeds niet klikt op z'n emailtjes.
17-01-2024, 08:17 door Anoniem
Door karma4:
Door Briolet: Zoiets werkt toch nooit als controle. Als ik de boel wil belazeren, zou ik eerst een kopie paspoort maken waar ik een foto op plak van de persoon die ik later ook moet laten zien. Dat is het leuke van digitale kopietje paspoort: je kunt er alles aan veranderen voordat je het opstuurt. Alle echtheidskenmerken zijn toch al wel bij een kopie.

Gaat werken, een kopietje op zich is geen bewijs.
De echtheidskenmerken op het ID is 1, het vergelijk foto en bewegend beeld is 2.

Door Anoniem: Oh trouwens die fotos bewaren ze 7 jaar. Twee jaar langer dan zelfs de Wwft verplicht.
Ik vermoedt dat een DPIA heel wat extra onkunde nog aan het licht gaat brengen.

De onkunde zit eerder bij de AP. Niet op de hoogte van wettelijke verplichtingen en zichzelf als ware Big Brother boven alles zien te plaatsen. De 7 jaar is wel degelijk een behoorlijke minimumtermijn. De bedrijfsmatige verplichte bewaartermijn voor belangrijke bewijsstukken is standaard 7 jaar.

De AP is wél op de hoogte van de wettelijke verplichting (identiteit vaststellen van klanten), maar het maken van een DPIA is ook een wettelijke verplichting (wanneer bepaalde persoonsgegevens verwerkt worden).
17-01-2024, 09:49 door Anoniem
Door Anoniem: Wat nu als De Nederlandsche Bank aan de AP meld dat dat een wettelijke verplichting is, en al hun banklicentiehouders dat (moeten) doen - onder auspiciën van De Nederlandsche Bank?
AP weet echt wel dat een bank daartoe verplicht is, en AP weet ook echt wel dat de AVG die wettelijke verplichting als een geldige verwerkingsgrondslag ziet. Daar zit helemaal het probleem niet. Het gaat erom dat het doen van die verwerking eisen oplevert waaraan voldaan moet worden.

Daarnaast, omdat de AP niet geinformeerd is, is dat nu werkelijk inherent aan onzorgvuldigheid met die gegevens?
Een DPIA is niet het vooraf informeren van AP over een verwerking, het is een onderzoek naar de privacyrisico's van de verwerking en naar de maatregelen waarmee die risico's aangepakt kunnen worden. Ze zijn verplicht om dat onderzoek vooraf te doen, en verplicht om desgevraagd aan te kunnen tonen dat ze dat hebben gedaan en dat ze zich ernaar gedragen.

Het is best mogelijk dat men bij ICS bij het inrichten van dat proces heeft nagedacht over privacy en maatregelen heeft genomen, en in die zin zorgvuldig is geweest. Maar een van de vereisten is dat ze kunnen aantonen dat ze dat gedaan hebben. Daarvoor is het nodig om er een aparte activiteit van te maken, een DPIA dus, die een eigen rapport oplevert waarmee ze kunnen aantonen dat ze dat denkwerk hebben gedaan en dat gebruikt kan worden om te controleren of ze de maatregelen die ze nodig vonden ook toepassen. Dat is verplicht als de privacyrisico's groot kunnen zijn.

Bij ISC zitten bepaald geen pannekoeken, dus "geen wettelijk verplichte DPIA" lijkt mij ook een beetje overdramatisch geformuleerd. Lijkt mij een beetje een buhne-gevecht, waarbij ICS onredelijk slecht wordt afgeschilderd.
Naast het toezicht door de toezichthouders (DNB, AFM, voor persoonsgegevens AP) moet een financiële instelling zich ook regelmatig laten auditen door een externe accountantsdienst (denk aan bedrijven als KPMG) en moeten er ook verplicht interne auditors zijn die actief controleren of de instelling zich wel aan de regels en aan de eigen procedures houdt.

Bij een financiële instelling waar ik zelf lang gewerkt heb zat voldoen aan een zeer complex stelsel van wettelijke vereisten in de haarvaten van de organisatie, zoals voor een spoorbedrijf of een luchtvaartonderneming fysieke veiligheid in de haarvaten van de organisatie hoort te zitten. Het zijn de omstandigheden waarbinnen je opereert, en daar heb je dus rekening mee te houden, ook als het complex is. Naast toezichthouders als DNB en AFM krijg je dan ook te maken met audits door externe partijen als KPMG en met interne auditors die behoorlijk actief een vinger aan de pols houden. Het is gewoon kwaliteitsbewaking, je moet als slager niet je eigen vlees keuren dus zijn er anderen die regelmatig keuringen uitvoeren.

En daar is alweer jaren geleden de AVG bijgekomen met AP als toezichthouder. Dat is ook voor de financiële wereld een verandering geweest die ongetwijfeld niet van het ene moment op het andere tot in de haarvaten was doorgedrongen, maar dit zijn wel organisaties die allang gewend zijn dat ze binnen een stelsel van complexe regels opereren met toezicht op de naleving ervan, en die ook gewend zijn om te gaan met forse veranderingen in die regels. Die werken allang op een manier waar ook dit naadloos in te passen is.

Een wettelijke vereiste helemaal over het hoofd zien of negeren vind ik een blunder van formaat voor zo'n soort organisatie. De checks & balances die binnen de organisatie aanwezig horen te zijn hebben niet gefunctioneerd. Misschien zijn ze bij ICS toch wel pannenkoeken geweest op dit punt ;-).
17-01-2024, 09:55 door Anoniem
Banken zijn verplicht om goede identificatie te doen met foto's en dergelijke.

Veel bla-bla van de diverse "super privacy aanhangers" op dit forum die weer lekker aan het roeptoeteren zijn (is er ooit een zeker artikel op deze site waar GEEN negatief geblaat over komt?).

Dat alleen hiervoor geen DPIA is opgesteld is m.i. een foutje dat geen 150k waard is - inderdaad, het is iets voor de bühne waarmee de AP kan laten zien dat ze o-zo-streng zijn.
17-01-2024, 11:39 door Anoniem
Dus dat is er nieuw aan de nieuwe Visa card, geen dpia. Dat haalde ik niet uit de reclame...
17-01-2024, 12:40 door karma4
Door Anoniem: De AP is wél op de hoogte van de wettelijke verplichting (identiteit vaststellen van klanten), maar het maken van een DPIA is ook een wettelijke verplichting (wanneer bepaalde persoonsgegevens verwerkt worden).

Een DPIA is nodig als er iets veranderd zou zijn, dat is niet zo.
Het vaststellen van de juiste identiteit archiveren een copy bewijs is al tientallen jaren de norm met wettelijke verplichtingen
Dat heef de AP toegegeven. Waar zit dan de pijn?
Laten we het eens aflopen:
- Als Mientje niet aanwezig is dan kom Klaas voor de afhandeling.
- Dat is een belangrijke verandering waarvoor de AP een DPIA vraagt?
Als je het zo opvoert zie dat de AP zich met de interen bedrijfsvoering aan het bemoeien is. Zoiets is met micromanagement is voor een overheid grondwettelijk verboden. Het bedrag lijkt veel maar is een zakcentje in het gebeuren met advocaat kosten.
Zo zijn er even geen scheve gezichten en is er mogelijk onderhands wisselgeld bedongen.
17-01-2024, 16:00 door Anoniem
Door Anoniem:

Bij een financiële instelling waar ik zelf lang gewerkt heb zat voldoen aan een zeer complex stelsel van wettelijke vereisten in de haarvaten van de organisatie, zoals voor een spoorbedrijf of een luchtvaartonderneming fysieke veiligheid in de haarvaten van de organisatie hoort te zitten. Het zijn de omstandigheden waarbinnen je opereert, en daar heb je dus rekening mee te houden, ook als het complex is. Naast toezichthouders als DNB en AFM krijg je dan ook te maken met audits door externe partijen als KPMG en met interne auditors die behoorlijk actief een vinger aan de pols houden. Het is gewoon kwaliteitsbewaking, je moet als slager niet je eigen vlees keuren dus zijn er anderen die regelmatig keuringen uitvoeren.

Theoretisch wel. Ik heb zelf bij een grote bank gewerkt en daar o.a. gewerkt aan de portal waar de AFM de info van de bank op kan zien. Alle stoplichten op groen, maar ik moest de data uit allerlei databases in deze portal ophoesten. Fluitje van een cent om daar een en ander in aan te passen. En waarom heeft de AFM een portal die door de mensen van de bank wordt gemaakt? Omdat ze dan niet in alle losse systemen hoeven te kijken.

Dus het is de AFM keurt het vlees dat de bank in de eigen toonbank legt.
17-01-2024, 16:02 door Anoniem
Door Anoniem: Banken zijn verplicht om goede identificatie te doen met foto's en dergelijke.

Veel bla-bla van de diverse "super privacy aanhangers" op dit forum die weer lekker aan het roeptoeteren zijn (is er ooit een zeker artikel op deze site waar GEEN negatief geblaat over komt?).

Dat alleen hiervoor geen DPIA is opgesteld is m.i. een foutje dat geen 150k waard is - inderdaad, het is iets voor de bühne waarmee de AP kan laten zien dat ze o-zo-streng zijn.

Banken zijn ook verplicht die DPIA te doen. Met de identificatie zaten ze ook fout omdat het geld kostte, dat zal hier ook wel het geval zijn.

En 150k voor ICS is zo weinig dat ze een keer een lunch voor de directie over kunnen slaan om het te compenseren. Daar gaat echt niemand van wakker liggen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.