Visterin Fileert: mainframe van ING heeft probleem

Het hallucinante verhaal waarom ING omwille van de GDPR haar mainframe moet aanpassen

Dit artikel delen:

Twee jaar na het invoeren van de GDPR-wetgeving toont de Belgische Gegevensbeschermingsautoriteit (GBA) steeds meer haar tanden. Dat blijkt uit een aantal beslissingen. Met mijn persoonlijke favoriet: het mainframe van ING.

In de reeks van privacy- en GDPR-beslissingen die de GBA de voorbije maanden nam, vind ik die over het mainframe van de financiële groep ING het meest opvallend. Ook al dook die nog niet uitvoerig op in de pers.

E moet é zijn

Het verhaal gaat als volgt. Een klant van ING eiste dat zijn naam correct in de computersystemen moet worden bewaard. Dus mét het accent in de naam: é in plaats van e. Eén letter verschil met onnoemelijke gevolgen.

Op het eerste zicht een logische en (volgens de GDPR) legitieme vraag. Maar dat was buiten de legacy van ING gerekend. Want ING haar mainframe ondersteunde enkel EBCDI (extended binary-coded decimal interchange code), waarin de é niet voorkwam. Waardoor een juiste schrijfwijze onmogelijk of toch op zijn minst niet evident was.

Mainframe van 25 jaar oud

"ING trekt naar het Hof van Cassatie. De oplossing voor haar mainframe is te complex"

Het mainframe, die overigens zou dateren uit 1995, onmiddellijk wijzigen, was volgens ING te duur en te ingrijpend. Want ING zou binnenkort toch overschakelen naar aan andere systeem die wel accenten ondersteunt. 

Maar de GBA was het hier niet mee eens en vond het fundamenteel recht op verbetering aangetast. De zaak ging in beroep, naar het zogenaamde Marktenhof. Die de uitspraak bevestigde. Noch een computerprogramma, noch te grote kosten, kunnen redenen zijn om GDPR-rechten van klanten te schenden, zo was de redenering.

En daar is het Hof Van Cassatie

So far, so good? Hoe zou het intussen zijn met ING’s mainframe? Als we ING de vraag stellen, krijgen we eerst het vertrouwde antwoord. ‘ING heeft zich destijds tegen het verzoek van de klant verzet. We vonden dat de inspanningen en investeringen die hiervoor vereist waren niet in verhouding staan tot de vraag’, aldus Peter Dercon, woordvoerder van ING. 

‘De implementatie van een oplossing heeft immers gevolgen voor tientallen toepassingen die hiermee samenhangen, wat dit tot een bijzonder complexe vraag maakt en veel tijd vereist’, benadrukt Dercon. Maar dat de Gegevensbeschermingsautoriteit ING daarin dus niet is gevolgd, dat geeft ING ook toe.

Is hiermee de kous af? Toch niet. ING heeft een regres ingediend bij het Hof van Cassatie, en verwacht nu haar arrest.

Iedereen kan zaak beginnen

Wat ik vooral onthoud van de ING-zaak? De impact van het individu. Want in de meeste gevallen gaat de GBA tot actie over na een klacht van één klant.

Cruciaal is dat het niet bij zo’n klacht van een klant blijft. Neen, heel uw GDPR-aanpak wordt onder de loep genomen en door de mangel gehaald. 

En dan komen ze dus terecht bij uw computersysteem. Of uw mainframe van 25 jaar oud.
x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2020-06-03T11:46:00.000Z William Visterin
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.