De Danske Bank heeft een paar weken terug een boete gekregen wegens het overtreden van de AVG met klantdata. Bijzonder aan de zaak is dat de bank zelf de melding heeft gedaan die tot de boete leidde. Wat die melding precies was is zal bekend voor kunnen komen.
2016
Onder de AVG is het niet toegestaan data langer te bewaren dan strikt noodzakelijk is voor de reguliere business. Dat banken ook aan andere eisen hebben te voldoen is bekend, het staat in principe het naleven van de AVG niet in de weg.
400 systemen
Banken (en andere bedrijven) zijn in het verleden erg actief geweest met het vergaren van data. Data die herleidbaar is tot natuurlijke personen om precies te zijn. Die data staat niet op een machine, maar verdeeld over – in dit geval – 400 systemen in meerdere landen. Die spreiding maakt het volgens de bank onmogelijk de data te wissen. Daarvoor is een melding gedaan en na onderzoek heeft de toezichthouder de bank een boete van omgerekend anderhalf miljoen Euro opgelegd (bron).
Komt bekend voor
Wat deze zaak zo interessant maakt is dat het iedereen in de IT bekend kan voorkomen. Organisaties met veel vestigingen verspreid over een groter gebied. Bijhouden wat er daar aan hardware in omloop is kan al een uitdaging zijn. Dankzij shadow IT is dat over de jaren alleen maar lastiger geworden. En dan is er ook nog de noodzaak klantdata te wissen van alle systemen als de klant daar om verzoekt, dan is het niet alleen een bank die daarvoor met de AVG de mist zal ingaan.
Primeur
Sterker nog, exact dit scenario is jaren geleden al vaker ter sprake gebracht in gesprekken met IT dienstverleners en de IT beheerders van grote organisaties in Nederland. Op dat moment, dat was voor mei 2018, gaven zijn aan niet te weten hoe ze konden aantonen dat data echt gewist zou zijn. Legacy hardware werd genoemd als een hoofdpijndossier. Danske Bank heeft een primeur, maar het is echt niet het enige bedrijf met dit probleem.