In opdracht van een dertigtal Belgische banken verwerkt Worldline/equensWorldline de financiële gegevens van klanten die bankkaarten gebruiken. Het bedrijf maakt deel uit van de Atos-groep en levert onder meer het informaticasysteem om betaalkaarten uit te geven en het verwerkt de machtigingen voor financiële verrichtingen. Het stelt ook callcenters ter beschikking om kaarten te blokkeren en neemt de technische afhandeling van klachten voor zijn rekening. In 2013 heeft Worldline een aantal van die diensten uitbesteed aan onderaannemingen van de Atos-groep buiten Europa. Volgens de voorzitter van de Privacycommissie, Willem Debeuckelaere, is de bescherming van persoonsgegevens daarbij onvoldoende contractueel gewaarborgd.
...

In opdracht van een dertigtal Belgische banken verwerkt Worldline/equensWorldline de financiële gegevens van klanten die bankkaarten gebruiken. Het bedrijf maakt deel uit van de Atos-groep en levert onder meer het informaticasysteem om betaalkaarten uit te geven en het verwerkt de machtigingen voor financiële verrichtingen. Het stelt ook callcenters ter beschikking om kaarten te blokkeren en neemt de technische afhandeling van klachten voor zijn rekening. In 2013 heeft Worldline een aantal van die diensten uitbesteed aan onderaannemingen van de Atos-groep buiten Europa. Volgens de voorzitter van de Privacycommissie, Willem Debeuckelaere, is de bescherming van persoonsgegevens daarbij onvoldoende contractueel gewaarborgd.WILLEM DEBEUCKELAERE: Sinds 2013 is een Marokkaans dochterbedrijf van de Atos-groep verantwoordelijk voor de blokkering van betaalkaarten, de Card Stop-functie. Het verzorgt ook de backoffice van bankautomaten voor incidenten tijdens banktransacties. En een Indiaas dochterbedrijf neemt sinds 2013 het operationeel beheer van betwiste transacties voor zijn rekening. Daardoor worden heel wat privégegevens van Belgen buiten Europa verwerkt: kaartnummer, naam, geboortedatum, bedrag, datum en uur van de verrichting. Sommige banken waren daar niet eens van op de hoogte. DEBEUCKELAERE: Wel als die bedrijven in Marokko en India de strenge Europese regelgeving volgen en dat contractueel op de juiste manier is vastgelegd. Maar daar zit het probleem. Atos verwijst weliswaar naar bindende bedrijfsvoorschriften die gelden binnen de hele groep, maar uit ons onderzoek blijkt dat die niet voldoende juridische omkadering bieden. We willen dat de burger beschermd wordt volgens de Europese standaarden. DEBEUCKELAERE: Al in december 2016 hebben we Atos gevraagd om glasheldere, sluitende contracten met de onderaannemers in Marokko en India voor te leggen. Daarin moeten de basisbeginselen van de privacybescherming zijn opgenomen. Tot op vandaag is het bedrijf daar niet in geslaagd. Atos doet dit af als een onbelangrijke administratieve vergetelheid, maar het krijgt zijn huiswerk niet op orde en voldoet zo niet aan de wettelijke vereisten. Dat roept vragen op over de robuustheid van het hele systeem. Misschien moet het maar eens gedaan zijn met al die wilde outsourcing naar India en andere derdewereldlanden, waar het goedkoper werken is maar geen juridische zekerheid geboden wordt. Het gaat hier om het vertrouwen in de instellingen. DEBEUCKELAERE: Diefstal en contaminatie van data komen steeds vaker voor. Financiële gegevens zijn uiteraard een mooie prooi. Ze worden onder meer gebruikt om mensen af te persen. Stel je voor dat het netwerk van die bedrijven in India of Marokko gehackt wordt. Heel het Europese betalingsverkeer kan daardoor in het honderd lopen. Natuurlijk bestaat dat risico ook als alle nodige contracten wél in orde zijn. Maar zonder die contracten kun je als klant waarschijnlijk fluiten naar herschikkingen of compensaties. Er wordt morsig omgesprongen met persoonsgegevens en niet deugdelijk gewaakt over de zekerheid van de systemen. Niet alleen ICT-matig moeten de gegevens worden beschermd, ook juridisch moet dat sluitend gebeuren. DEBEUCKELAERE: Als je iemand zijn bankrekeningen kunt inkijken, krijg je een röntgenfoto van die persoon en zijn gezin. Je ziet gegevens over hun levensstijl. En soms kun je iets afleiden over hun manier van denken, zoals wanneer ze betalingen doen in de geneeskunde of de politieke en syndicale sfeer. DEBEUCKELAERE: Wij hebben hen betrokken bij ons onderzoek. Zes banken hebben niet eens hun machtiging aan Atos verleend om gegevens van hun klanten te laten verwerken in India en Marokko. Bovendien hadden de banken hun klanten moeten informeren dat niet-gemachtigde ondernemingen toegang kregen tot persoonsgegevens, maar dat deden ze niet. En ten slotte: van 2013 tot 2015 waren sommige banken niet eens in staat uit te maken waar de persoonsgegevens - waarover zij de juridische verantwoordelijkheid droegen - werden verwerkt. Dat is onaanvaardbaar. DEBEUCKELAERE: Neen. We bevelen wel aan om de internationale doorgifte van persoonsgegevens te schorsen tot alles contractueel sluitend is geregeld. Maar die aanbeveling is niet bindend voor Atos. Aan een procedure voor de rechtbank gaan we geen geld spenderen. Of banken dat overwegen is hun zaak. Wij hebben in ieder geval iedereen verwittigd. DEBEUCKELAERE: Moeten we wachten tot de vlam in de pan slaat? De privacywetgeving wil schade voorkomen. Dat is beter dan genezen, zeker wanneer je bij voorbaat weet dat een inbreuk - een ernstige hacking bijvoorbeeld - onoverzienbare gevolgen kan hebben die niet meteen te herstellen zijn.