Twee jaar na het invoeren van de GDPR-wetgeving toont de Belgische Gegevensbeschermingsautoriteit (GBA) steeds meer haar tanden. Dat blijkt uit een aantal beslissingen. Met mijn persoonlijke favoriet: het mainframe van ING.
In de reeks van privacy- en GDPR-beslissingen die de GBA de voorbije maanden nam, vind ik die over het mainframe van de financiële groep ING het meest opvallend. Ook al dook die nog niet uitvoerig op in de pers.
E moet é zijn
Het verhaal gaat als volgt. Een klant van ING eiste dat zijn naam correct in de computersystemen moet worden bewaard. Dus mét het accent in de naam: é in plaats van e. Eén letter verschil met onnoemelijke gevolgen.
Op het eerste zicht een logische en (volgens de GDPR) legitieme vraag. Maar dat was buiten de legacy van ING gerekend. Want ING haar mainframe ondersteunde enkel EBCDI (extended binary-coded decimal interchange code), waarin de é niet voorkwam. Waardoor een juiste schrijfwijze onmogelijk of toch op zijn minst niet evident was.
Mainframe van 25 jaar oud
Het mainframe, die overigens zou dateren uit 1995, onmiddellijk wijzigen, was volgens ING te duur en te ingrijpend. Want ING zou binnenkort toch overschakelen naar aan andere systeem die wel accenten ondersteunt.
Maar de GBA was het hier niet mee eens en vond het fundamenteel recht op verbetering aangetast. De zaak ging in beroep, naar het zogenaamde Marktenhof. Die de uitspraak bevestigde. Noch een computerprogramma, noch te grote kosten, kunnen redenen zijn om GDPR-rechten van klanten te schenden, zo was de redenering.
En daar is het Hof Van Cassatie
So far, so good? Hoe zou het intussen zijn met ING’s mainframe? Als we ING de vraag stellen, krijgen we eerst het vertrouwde antwoord. ‘ING heeft zich destijds tegen het verzoek van de klant verzet. We vonden dat de inspanningen en investeringen die hiervoor vereist waren niet in verhouding staan tot de vraag’, aldus Peter Dercon, woordvoerder van ING.
‘De implementatie van een oplossing heeft immers gevolgen voor tientallen toepassingen die hiermee samenhangen, wat dit tot een bijzonder complexe vraag maakt en veel tijd vereist’, benadrukt Dercon. Maar dat de Gegevensbeschermingsautoriteit ING daarin dus niet is gevolgd, dat geeft ING ook toe.
Is hiermee de kous af? Toch niet. ING heeft een regres ingediend bij het Hof van Cassatie, en verwacht nu haar arrest.
Iedereen kan zaak beginnen
Wat ik vooral onthoud van de ING-zaak? De impact van het individu. Want in de meeste gevallen gaat de GBA tot actie over na een klacht van één klant.
Cruciaal is dat het niet bij zo’n klacht van een klant blijft. Neen, heel uw GDPR-aanpak wordt onder de loep genomen en door de mangel gehaald.
En dan komen ze dus terecht bij uw computersysteem. Of uw mainframe van 25 jaar oud.