Banken mogen het betaalverkeer van klanten niet zomaar analyseren voor het aanbieden van persoonlijke reclame. Dat druist hoogstwaarschijnlijk in tegen de AVG, schrijft de Autoriteit Persoonsgegevens in een brief aan Nederlandse banken.
De privacytoezichthouder zegt in de brief dat banken goed moeten bekijken of zij de betaalgegevens van klanten mogen gebruiken voor reclame. Die verwerking van de gegevens moet volgens de Algemene Verordening Gegevensbescherming 'verenigbaar zijn' met waarvoor klanten hun gegevens in de eerste plaats aan de bank geven, zegt een woordvoerder van de privacytoezichthouder tegen Tweakers. "Als jij je rekening bij ING opent om je salaris te krijgen, mag je dan verwachten dat de bank jou een reisverzekering aanbiedt als ze zien dat je op vakantie bent?"
De privacytoezichthouder adresseert de brief in het algemeen aan de Nederlandse Vereniging van Banken. In de brief wordt gesproken over 'een bank' en 'banken', maar niet specifiek over ING. Die bank kwam vorige maand met het plan om persoonlijke aanbiedingen te doen op basis van bij- en afschrijvingen op iemands rekening. Zo kunnen klanten die kindertoeslag krijgen reclame voorgeschoteld krijgen over kinderspaarrekeningen. Het ging om een opt-out-functie, wat de bank op veel kritiek kwam te staan.
Een woordvoerder bevestigt tegen Tweakers wel dat de brief deels is gebaseerd op de plannen van ING, maar dat het de waarschuwing bewust aan alle banken geeft. "We kregen naar aanleiding van de plannen van ING veel klachten binnen van bezorgde burgers, maar tegelijkertijd zien we wel signalen dat er ook andere banken bezig zijn met soortgelijke plannen. Daarom willen we de hele sector waarschuwen."
'Geen ja of nee'
Volgens de toezichthouder is niet zonder meer te zeggen of de specifieke plannen van ING mogen of niet. "Daar is door ons geen ja of nee op te zeggen", zegt de woordvoerder. "Wij geven aan hoe de regels eruit zien en doen een toets. Het is dan de verantwoordelijkheid van de bank om te kijken of ze zich in de uitslag van die toets kunnen vinden." Wel staat in de brief verschillende keren dat het er niet op lijkt dat de plannen zoals ING die wil implementeren conform de wet zijn. "De AP merkt op dat de verwerking van gevoelige persoonsgegevens een redelijke verwachting creëert dat deze gegevens niet voor andere doeleinden worden verwerkt", staat in de brief te lezen. Verderop staat ook: "Redelijkerwijs mag een klant verwachten dat persoonsgegevens in transactiegegevens niet voor andere doeleinden dan de uitvoering van de betalingstransactie worden verwerkt."
"Het is tegenwoordig bijna niet meer mogelijk géén betaalrekening te hebben"
De AP weegt onder andere mee dat het tegenwoordig bijna niet meer mogelijk is géén betaalrekening te hebben. "Personen zijn in de huidige tijd praktisch verplicht om een betaalrekening te hebben om op normale wijze aan het maatschappelijk verkeer te kunnen deelnemen", schrijft de toezichthouder. Daarmee wordt ook opgemerkt dat er sinds een tijd 'een ontwikkeling is naar steeds verdergaande digitalisering van het betalingsverkeer.'
De AP zegt dat het mogelijk kan optreden tegen de bank als die de wet blijkt te overtreden. "Daarvoor hebben we een reeks instrumenten tot onze beschikking", zegt de woordvoerder. "In dit geval kozen we ervoor snel te handelen door een brief te sturen naar de belangenvereniging." Andere mogelijkheden van de toezichthouder om privacyschendingen tegen te gaan zijn bijvoorbeeld een last onder dwangsom, waarbij de bank met een voorwaardelijke boete wordt gedwongen het gedrag aan te passen, of een daadwerkelijke boete. Dat laatste is sinds de invoering van de AVG nog niet voorgekomen.
ING en NVB in gesprek met toezichthouder
ING zegt dat het de uitspraak van de AP gaat bestuderen en op basis daarvan gaat kijken of het de plannen mogelijk moet wijzigen. Een woordvoerder zegt dat de bank tot nu toe nog geen gegevens heeft geanalyseerd, omdat het nog bezig was klanten te informeren. Vorige maand zei de bank al dat dat proces tot 7 juli zou duren. Naar aanleiding van de AP-brief start ING voorlopig ook nog niet met die analyse. "We gaan nu eerst in gesprek met de toezichthouder om meer duidelijkheid te krijgen", zegt de woordvoerder. De bank zegt eerder nog niet met de AP over de plannen te hebben gesproken. "We hebben deze plannen opgestart volgens onze interpretatie van de AVG. Als de AP nu iets anders zegt, dan gaan we daarnaar kijken."
Ook andere banken gaan 'graag in gesprek' met de Autoriteit, schrijf de Nederlandse Vereniging van Banken. "De AP laat in haar brief weinig mogelijkheden om klanten op basis van betaaldata te wijzen op andere producten van de bank, ook niet als dat evident in het belang van de klant is", schrijft de NVB. "We ervaren daarbij een spanningsveld tussen de eisen uit de privacywetgeving en de verantwoordelijkheid van de banken om hun klanten te behoeden voor financiële problemen." De NVB vraagt zich bovendien af waarom banken vroeger wel gebruik mochten maken van persoonlijke data, maar onder de nieuwe privacywetgeving niet meer, met name "in een toekomst waarin data voor veel bedrijven steeds belangrijker worden."