Voorzitter Privacycommissie: ‘Moeten we wachten tot de vlam in de pan slaat?’

'Al in december 2016 hebben we Atos gevraagd om glasheldere, sluitende contracten met de onderaannemers in Marokko en India voor te leggen.' © Knack
Kristof Clerix
Kristof Clerix is redacteur bij Knack

Worldline, dat u kent als het bedrijf dat in opdracht van banken het geautomatiseerde betalingsverkeer regelt, eerbiedigt de privacyregels niet. Dat blijkt uit twee recente aanbevelingen van de Privacycommissie.

In opdracht van een dertigtal Belgische banken verwerkt Worldline/equensWorldline de financiële gegevens van klanten die bankkaarten gebruiken. Het bedrijf maakt deel uit van de Atos-groep en levert onder meer het informaticasysteem om betaalkaarten uit te geven en het verwerkt de machtigingen voor financiële verrichtingen. Het stelt ook callcenters ter beschikking om kaarten te blokkeren en neemt de technische afhandeling van klachten voor zijn rekening. In 2013 heeft Worldline een aantal van die diensten uitbesteed aan onderaannemingen van de Atos-groep buiten Europa. Volgens de voorzitter van de Privacycommissie, Willem Debeuckelaere, is de bescherming van persoonsgegevens daarbij onvoldoende contractueel gewaarborgd.

Misschien moet het maar eens gedaan zijn met al die wilde outsourcing. In India of Marrokko is het goedkoper werken, maar juridische zekerheid is er niet.

Atos is een cruciale schakel in het financiële verkeer. Wat schort er precies?

WILLEM DEBEUCKELAERE: Sinds 2013 is een Marokkaans dochterbedrijf van de Atos-groep verantwoordelijk voor de blokkering van betaalkaarten, de Card Stop-functie. Het verzorgt ook de backoffice van bankautomaten voor incidenten tijdens banktransacties. En een Indiaas dochterbedrijf neemt sinds 2013 het operationeel beheer van betwiste transacties voor zijn rekening. Daardoor worden heel wat privégegevens van Belgen buiten Europa verwerkt: kaartnummer, naam, geboortedatum, bedrag, datum en uur van de verrichting. Sommige banken waren daar niet eens van op de hoogte.

Is de privacybescherming buiten Europa niet gegarandeerd?

DEBEUCKELAERE: Wel als die bedrijven in Marokko en India de strenge Europese regelgeving volgen en dat contractueel op de juiste manier is vastgelegd. Maar daar zit het probleem. Atos verwijst weliswaar naar bindende bedrijfsvoorschriften die gelden binnen de hele groep, maar uit ons onderzoek blijkt dat die niet voldoende juridische omkadering bieden. We willen dat de burger beschermd wordt volgens de Europese standaarden.

Gaat het louter om een administratieve kwestie, of is er écht een privacyprobleem?

DEBEUCKELAERE: Al in december 2016 hebben we Atos gevraagd om glasheldere, sluitende contracten met de onderaannemers in Marokko en India voor te leggen. Daarin moeten de basisbeginselen van de privacybescherming zijn opgenomen. Tot op vandaag is het bedrijf daar niet in geslaagd. Atos doet dit af als een onbelangrijke administratieve vergetelheid, maar het krijgt zijn huiswerk niet op orde en voldoet zo niet aan de wettelijke vereisten. Dat roept vragen op over de robuustheid van het hele systeem. Misschien moet het maar eens gedaan zijn met al die wilde outsourcing naar India en andere derdewereldlanden, waar het goedkoper werken is maar geen juridische zekerheid geboden wordt. Het gaat hier om het vertrouwen in de instellingen.

Wat kan er precies misgaan?

DEBEUCKELAERE: Diefstal en contaminatie van data komen steeds vaker voor. Financiële gegevens zijn uiteraard een mooie prooi. Ze worden onder meer gebruikt om mensen af te persen. Stel je voor dat het netwerk van die bedrijven in India of Marokko gehackt wordt. Heel het Europese betalingsverkeer kan daardoor in het honderd lopen. Natuurlijk bestaat dat risico ook als alle nodige contracten wél in orde zijn. Maar zonder die contracten kun je als klant waarschijnlijk fluiten naar herschikkingen of compensaties. Er wordt morsig omgesprongen met persoonsgegevens en niet deugdelijk gewaakt over de zekerheid van de systemen. Niet alleen ICT-matig moeten de gegevens worden beschermd, ook juridisch moet dat sluitend gebeuren.

Waarom zijn financiële gegevens zo privacygevoelig?

DEBEUCKELAERE: Als je iemand zijn bankrekeningen kunt inkijken, krijg je een röntgenfoto van die persoon en zijn gezin. Je ziet gegevens over hun levensstijl. En soms kun je iets afleiden over hun manier van denken, zoals wanneer ze betalingen doen in de geneeskunde of de politieke en syndicale sfeer.

Zijn de Belgische banken op de hoogte van de problemen?

DEBEUCKELAERE: Wij hebben hen betrokken bij ons onderzoek. Zes banken hebben niet eens hun machtiging aan Atos verleend om gegevens van hun klanten te laten verwerken in India en Marokko. Bovendien hadden de banken hun klanten moeten informeren dat niet-gemachtigde ondernemingen toegang kregen tot persoonsgegevens, maar dat deden ze niet. En ten slotte: van 2013 tot 2015 waren sommige banken niet eens in staat uit te maken waar de persoonsgegevens – waarover zij de juridische verantwoordelijkheid droegen – werden verwerkt. Dat is onaanvaardbaar.

Overweegt u juridische stappen?

DEBEUCKELAERE: Neen. We bevelen wel aan om de internationale doorgifte van persoonsgegevens te schorsen tot alles contractueel sluitend is geregeld. Maar die aanbeveling is niet bindend voor Atos. Aan een procedure voor de rechtbank gaan we geen geld spenderen. Of banken dat overwegen is hun zaak. Wij hebben in ieder geval iedereen verwittigd.

Het goede nieuws is dat er geen data verloren zijn gegaan.

DEBEUCKELAERE: Moeten we wachten tot de vlam in de pan slaat? De privacywetgeving wil schade voorkomen. Dat is beter dan genezen, zeker wanneer je bij voorbaat weet dat een inbreuk – een ernstige hacking bijvoorbeeld – onoverzienbare gevolgen kan hebben die niet meteen te herstellen zijn.

‘Nooit een veiligheidslek vastgesteld’

‘De aanbevelingen van de Privacycommissie gaan in essentie over de administratieve regularisatie van bepaalde documenten en vormvereisten’, reageert Sarah Thomas, woordvoerster van Worldline. ‘We werken al meerdere maanden constructief samen met de Privacycommissie. We hebben een actieplan opgesteld om de bijkomende vormelijke of administratieve formaliteiten zo snel mogelijk uit te voeren. Daar zijn we mee begonnen. Ondertussen zitten we in de eindfase. We blijven ook open communiceren met onze klanten (de banken, nvdr) en de Privacycommissie.’

‘De diensten waarop de aanbevelingen van de Privacycommissie betrekking hebben voldoen aan de hoogste standaarden inzake beveiligingsniveau’, gaat Thomas verder. ‘We willen benadrukken dat op geen enkel moment het niveau van de gegevensbeveiliging in vraag is gesteld door de Privacycommissie. In België zijn meer dan 20 miljoen betaalkaarten in omloop en worden bijna twee miljard betaaltransacties per jaar verwerkt. Daarbij hebben wij nooit een veiligheidsprobleem of gegevenslek vastgesteld.’

Ook Febelfin, de Belgische federatie van de financiële sector, benadrukt dat ‘niemand schade heeft geleden en dat er geen gegevens van klanten zijn gelekt of verloren zijn gegaan. De Belgische banken zijn onmiddellijk met de aanbevelingen van de Privacycommissie aan de slag gegaan en hebben de nodige maatregelen getroffen. De sector blijft inspanningen leveren om de beveiliging van gegevens op elk moment te garanderen.’

Partner Content