De ING bank heeft weer eens een boete opgelegd gekregen, deze keer omdat medewerkers WhatsApp gebruiken. De boete is opgelegd door de Roemeense AVG toezichthouder en is een fractie van de miljoenenboetes voor andere overtredingen in Nederland. Toch is ook deze boete er weer een en deze keer gaat het om een overtreding die op veel meer plekken zal voorkomen.
De bank leek daar aardig in te slagen, want lange tijd waren er geen meldingen meer van dure fouten. Maar een week terug is de bank toch weer in het nieuws gekomen. Deze keer niet vanwege het negeren van anti-witwas wetgeving, wel vanwege het overtreden van de AVG.
Link AVG en AML
De AVG is weliswaar een heel andere soort wetgeving dan AML (Anti Money Laundering) wetten, maar het gaat in beide gevallen wel om EU regelgeving. De consequenties van misstanden in lidstaat A kunnen gevolgen hebben voor de business in lidstaat B. De Franse boete was daar een duidelijk voorbeeld van. De Fransen zijn namelijk direct na het bekend worden van de boete in Nederland gaan spitten, want waar rook is is vuur.
Dat laatste maakt de Roemeense misstand daarom ook iets meer dan een detail. Het gaat in dat geval om een boete van 3.000 Euro voor het delen van klantdata via WhatsApp. Die klantdata was vertrouwelijk en dan is WhatsApp wel een zeer eigenaardige manier van communiceren.
De toezichthouder kwam tot de conclusie dat de banksystemen onvoldoende waren beschermd tegen het gebruik van WhatsApp (“geen passende technische en organisatorische maatregelen”). Daarom de boete.
Je mag hopen dat er iemand op het HQ – waar het boetebesluit eerder bekend was dan bij de pers – heel snel alle EU vestigingen is gaan nabellen met de vraag of zij WhatsApp op de werkvloer actief onmogelijk maken. Al was het maar om toezichthouders in andere landen een stap voor te zijn. Die kunnen immers het idee opvatten dat ook bij hun lokale ING kantoren WhatsApp wordt gebruikt om klantdata te delen.
WhatsApp en banken
Bijzonder aan deze case is niet alleen de kans dat in andere lidstaten onderzoek wordt gestart. Wel bijzonder is dat de ING niet de eerste bank, ook niet buiten de EU is die hiervoor op de vingers wordt getikt. Elders zijn daarvoor wezenlijk hogere boetes opgelegd. Schijnbaar is de verleiding toch te groot WhatsApp te gedogen of actief te gebruiken.
Tientallen boetes in de EU
Het delen van persoonsgegevens met die toepassing kan echter niet door de beugel. Daarvoor hoef je niet eens een bank te zijn of een andere bedrijf dat over bijzondere persoonsgegevens beschikt. Alleen al dit jaar zijn er in de EU 10 AVG boetes definitief opgelegd en gepubliceerd wegens het delen van data via WhatsApp. Zelfs een Spaanse advocaat is daarvoor beboet. Dat lijkt een laag aantal, maar dat is het niet. Het aantal waarschuwingen ligt vele malen hoger. Dat wij in Nederland daar zo weinig van meekrijgen is omdat AP amper actie onderneemt bij AVG misstanden.