Bedrijven en organisaties zijn vaak verplicht om na te gaan welke eventuele risico’s voor de privacy ontstaan als ze persoonlijke gegevens verzamelen. Zo ook ICS toen het bedrijf in 2019 begon met het digitaal identificeren van klanten in Nederland. Maar volgens de Autoriteit Persoonsgegevens heeft ICS nagelaten zo’n risicoanalyse uit te voeren voordat het creditcardbedrijf honderdduizenden klanten om hun naam, contactgegevens en een foto vroeg.

ICS, een dochterbedrijf van ABN AMRO, is niet van plan in beroep te gaan tegen de beslissing. Een woordvoerder legt uit dat de creditcarduitgever de ontbrekende risicoanalyse in 2021 en 2022 alsnog heeft gedaan. Het ontbreken van die check heeft volgens ICS „geen verdere consequenties” gehad voor de veiligheid van de gegevens die het bedrijf van klanten heeft.

De Autoriteit Persoonsgegevens geeft aan dat financiële instellingen zoals ICS persoonlijke informatie over klanten mogen gebruiken om hun identiteit vast te stellen. Dit is bijvoorbeeld belangrijk bij het tegengaan van witwassen of fraude. Maar ze zijn tegelijkertijd verplicht om goed uit te zoeken wat de risico’s zijn voor de privacy van klanten, benadrukt Katja Mur, bestuurslid van de privacywaakhond.

„Want als gegevens van jou, zoals een kopie van je paspoort, in verkeerde handen vallen, kun je bijvoorbeeld het slachtoffer worden van identiteitsfraude”, zegt Mur. „Iemand kan dan op jouw naam online spullen kopen zonder zelf te betalen.”