info@pellicaan.nl
NLEN

Niet naleven verplichting Data Protection Impact Assessment leidt tot boete

29 februari 2024

Op 15 januari 2024 heeft de Autoriteit Persoonsgegevens (AP) een bestuurlijke boete opgelegd aan International card Services BV (ICS), bekend van de creditcards, ter hoogte van € 150.000. Reden voor de boete is dat ICS niet aan haar verplichtingen heeft voldaan om een Data Protection Impact Assessment (DPIA) uit te voeren, zoals verplicht gesteld onder art. 35 lid 1 van de Algemene Verordening Gegevensbescherming (AVG).

Aanleiding onderzoek

De AP heeft haar onderzoek naar ICS gestart naar aanleiding van meerdere klachten die zij heeft ontvangen van consumenten over ICS. Deze klachten zagen op het door ICS opnieuw controleren van de identiteit van haar klanten. Naar aanleiding van de klachten heeft de AP onderzocht of ICS voorafgaand aan het starten met haar identificatieproces een DPIA had moeten uitvoeren.

Juridisch kader

Een partij moet op grond van art. 35 lid 1 AVG een DPIA uitvoeren wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

In de regel zal er sprake zijn van een verwerking met waarschijnlijk een hoog risico wanneer een verwerking voldoet aan twee van de negen criteria die worden genoemd in de Richtsnoeren WP 248 rev. 01 (de Richtsnoeren). De negen criteria in de Richtsnoeren zijn:

  1. Evaluatie of scoretoekenning.
  2. Geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg.
  3. Stelselmatige monitoring.
  4. Gevoelige gegevens of gegevens van zeer gevoelige aard.
  5. Op grote schaal verwerkte gegevens.
  6. Matching of samenvoeging van datasets.
  7. Gegevens met betrekking tot kwetsbare betrokkenen.
  8. Innovatief gebruik van nieuwe technologische of organisatorische oplossingen.
  9. Wanneer ten gevolge van de verwerking betrokkenen een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst.

Oordeel Autoriteit Persoonsgegevens

De AP oordeelt dat in onderhavige zaak in ieder geval twee van de negen criteria van toepassing zijn.

Allereerst is er sprake van verwerking van gevoelige gegevens of gegevens van zeer gevoelige aard. ICS verwerkt namelijk voor- en achternaam, geboortedatum, geboorteplaats, adresgegevens, e-mailadres, het telefoonnummer, geslacht, BSN, nummer van het ID-document, de daarin opgenomen foto en een (liveness)foto van een betrokkene. De AP merkt deze persoonsgegevens, al dan niet tezamen, aan als gevoelige gegevens en gegevens van persoonlijke aard.

Ten tweede is er ook sprake van op grote schaal verwerkte gegevens, aangezien de gegevens van ongeveer 1,5 miljoen klanten in Nederland zijn verwerkt.

De AP concludeert dan ook dat sprake is van een soort verwerking die waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen en dat ICS dus een DPIA had moeten uitvoeren.

Verweer ICS

ICS stelt zich op het standpunt dat zij eerder al een soortgelijk onderzoek heeft uitgevoerd en daarom in deze zaak geen DPIA meer hoefde uit te voeren. ICS geeft namelijk aan zelf een uitgebreid risicoproces te hebben ingericht (CRA), waarvan een Privacy Impact Assessment onderdeel is.

De AP gaat niet in mee. Volgens de Richtsnoeren moet een DPIA aan een aantal vereisten voldoen, te weten:

  1. Er moet een systematische beschrijving van de verwerking worden gegeven.
  2. De noodzaak en evenredigheid van de verwerking moet worden beoordeeld.
  3. De risico’s voor de rechten en vrijheden van betrokkenen moeten worden beheerd.
  4. De belanghebbenden (of hun vertegenwoordigers) en de functionaris gegevensbescherming (FG) worden in de beoordeling betrokken.

De CRA van ICS voldoet volgens de AP alleen aan het derde hiervoor genoemde punt, het beheren van de risico’s voor de rechten en vrijheden van betrokkenen.

Het voorgaande leidt tot de conclusie van de AP dat ICS met de CRA niet heeft voldaan aan de verplichting ex art. 35 AVG en dus alsnog een DPIA had moeten uitvoeren.

Het niet voldoen aan deze verlichting leidt tot een boete ter hoogte van € 150.000. De AP heeft als verzachtende omstandigheid wel meegewogen dat ICS de CRA heeft uitgevoerd (alinea 46 boetebesluit), maar concludeert dat ICS nalatig is geweest en in dat verband een verkeerde inschatting heeft gemaakt. Desondanks oordeelt de AP dat de ernst van de inbreuk laag is. De boete had dus nog veel hoger kunnen uitvallen.

Meer informatie of vragen?

Wilt u meer informatie over dit onderwerp? Neemt u dan gerust contact op met onze advocaat Elif Barioglu. Zij is per e-mail bereikbaar via elif.barioglu@pellicaan.nl of telefonisch via 088 627 22 87.

Bronvermelding

Elif Barioglu is auteur voor Sdu. Dit artikel is gepubliceerd in Sdu OpMaat algemeen, OpMaat privacyrecht basis en OpMaat Privacyrecht Plus.

Elif Barioglu
Advocaat
Rotterdam
088 627 22 87
Stuur mij een e-mail

Meer actueel

Nieuwe partner bij Pellicaan Advocaten

Nieuwe CAO voor Uitzendkrachten - Flex-seminar 25 september 2025

Pellicaan Advocaten adviseerde BrainTrainerPlus bij de verkoop aan Nolaon Industries

De AI Verordening uitgelegd: wat organisaties moeten weten

Digitaal bijwonen van zittingen

Pellicaan Advocaten adviseerde Sioen Industries bij de overname van Contender Sailcloth

DisclaimerAlgemene voorwaardenPrivacystatement

Enflow