Persoonsgegevens onvoldoende beschermd bij betalingsverkeer

Worldline, het bedrijf dat in opdracht van de banken het geautomatiseerde betalingsverkeer regelt, eerbiedigt de privacyregels niet. Dat staat te lezen in het weekblad Knack, dat zich baseert op twee recente aanbevelingen van de Privacycommissie. Het gaat om een aantal diensten die Worldline sedert 2013 uitbesteedt aan een Marokkaanse en een Indische onderaanneming van de Atos-groep. Door die outsourcing worden heel wat privégegevens van Belgen buiten Europa verwerkt: kaartnummer, naam, geboortedatum, bedrag, datum en uur van de verrichting.

Voor Willem Debeuckelaere, voorzitter van de Privacycommissie, gaat het erom dat de bescherming van persoonsgegevens bij die outsourcing of uitbesteding contractueel onvoldoende gewaarborgd is. Als die bedrijven in Marokko en India de strenge Europese regelgeving zouden volgen en als dat contractueel op de juiste manier zou vastgelegd zijn, dan zou er in principe geen probleem zijn. Maar daar loopt het volgens de Privacycommissie fout. Atos verwijst weliswaar naar bindende bedrijfsvoorschriften die gelden binnen de hele groep. Maar uit onderzoek van de Privacycommissie blijkt dat die voorschriften niet voldoende juridische omkadering bieden. De Privacycommissie heeft daarom aan Atos gevraagd om glasheldere, sluitende contracten met de onderaannemers in Marokko en India voor te leggen, waarin de basisbeginselen van de privacybescherming zijn opgenomen.

Debeuckelaere legt ook uit waarom het zo belangrijk is dat er wordt gewaakt over de zekerheid van de systemen en niet zo morsig wordt omgesprongen met persoonsgegevens. Zeker in tijden waarin financiële gegevens een mooie prooi geworden zijn. Debeuckelaere: “Als je iemand zijn bankrekeningen kunt inkijken, krijg je een röntgenfoto van die persoon en zijn gezin. Je ziet gegevens over hun levensstijl. En soms kun je iets afleiden over hun manier van denken, zoals wanneer ze betalingen doen in de geneeskunde of de politieke en syndicale sfeer.”

Dat er “niemand schade heeft geleden” en “nooit een veilgheidsprobleem of gegevenslek” werd vastgesteld – zoals Worldline en Febelfin in een reactie laten optekenen, doet daarbij niet ter zake. Willem Debeuckelaere: “De privacywetgeving moet schade net voorkomen. Dat is beter dan genezen, zeker wanneer je bij voorbaat weet dat een inbreuk – een ernstige hacking bijvoorbeeld – onoverzienbare gevolgen kan hebben die niet meteen te herstellen zijn.”