Wat doen banken met jouw betaalgegevens?

Het deed nogal wat stof opwaaien toen ING klanten begon te informeren over hoe de bank transactiegegevens wilde gebruiken om klanten 'persoonlijke aanbiedingen' te doen. Op het oorspronkelijke bericht op Tweakers kwamen 625 reacties, de meeste ervan op z'n minst niet positief. Nu blijkt dat ING niet de enige bank is die transactiegegevens wil aflezen.

Allereerst de plannen: wat wil ING ook alweer precies? De bank begon begin juni met het informeren van klanten dat het privacystatement werd bijgewerkt. "Door jouw af- en bijschrijvingen kennen we je een beetje", stond te lezen in mails, brieven en inboxberichten in de Mobiel Bankieren-app die verschillende lezers kregen toegestuurd. "Op basis van die gegevens kunnen we je betere tips geven, of een van onze eigen ING-producten aanbieden op het juiste moment." De bank geeft daarbij een voorbeeld: reclame voor een spaarrekening als de bank ziet dat je kinderbijslag krijgt. In het vernieuwde privacystatement staan nog andere voorbeelden, zoals een goedkopere studentenrekening als je studiefinanciering ontvangt. ING zei klanten tussen 3 juni en 7 juli te informeren over de nieuwe privacyregels. Klanten die daar niet mee akkoord gingen, moesten een wat ambigu schuifje in de instellingen van Mijn ING omzetten.

ING blijkt niet de enige bank te zijn die op deze manier data-analyses doet op betaalverkeer. De Volkskrant ontdekte dat het ook gebeurt of in het verleden gebeurde bij verschillende andere banken, waaronder ABN Amro, de Rabobank, SNS en ASN. Een belronde van Tweakers bevestigt dat; de Rabobank heeft in het verleden persoonlijke reclame getoond op basis van afschriften, bij ABN Amro gebeurt dat nog steeds. Ook SNS en ASN bestuderen de transacties van klanten, maar gebruiken die informatie niet per se voor persoonlijke marketing.

Deze week kwam de ophef in een stroomversnelling. De Autoriteit Persoonsgegevens, Nederlands privacytoezichthouder, schreef namelijk een brief aan alle Nederlandse banken waarin zij waarschuwt voor dergelijke praktijken. ABN Amro besloot daarop voorlopig te stoppen met het analyseren van deelnemers. Niet iedereen doet echter hetzelfde, en de banken hebben uiteenlopende motivaties en methodes.

ING

Er zijn dus meer banken met plannen als ING, maar ING is wel de bank die er de meeste kritiek op krijgt. De plannen van de voormalige staatsbank zijn nog niet in werking getreden, zegt een woordvoerder. "Op dit moment analyseren we nog geen persoonlijke gegevens." De bank zegt nu eerst in gesprek te willen met de Autoriteit Persoonsgegevens om te weten waar ze aan toe is. Aanvankelijk was het plan om op 7 juli met het analyseren van persoonsgegevens te beginnen, nadat alle klanten zijn geïnformeerd. Die periode wordt nu waarschijnlijk opgerekt. De woordvoerder zegt dat ING 'voorlopig' geen persoonlijke aanbiedingen gaat doen op basis van transactiegegevens, maar dat niet te zeggen is hoe lang die wapenstilstand duurt.

ABN Amro

Voor ABN Amro zijn de plannen minder controversieel. De bank deed iets dergelijks 'al jaren', zegt een woordvoerder van de bank tegen Tweakers. "Dit mocht al onder de Wet bescherming persoonsgegevens, de voorganger van de AVG. Dat is sindsdien ook niet aangepast. In de wbp stond een gedragscode waarin letterlijk het voorbeeld werd genoemd van een studentenrekening op basis van studiefinanciering." De woordvoerder benadrukt dat het alleen gaat om interne producten, dus verschillende rekeningen of verzekeringen van de bank zelf. "We gaan geen betaalgegevens aan derden geven, ook niet in de toekomst. Een tussenvariant waarbij we bijvoorbeeld wel derden laten adverteren in de app, maar zonder die derden toegang tot klantdata te geven, staat voorlopig ook nog niet op de planning." Klanten die helemaal niet willen dat de bank transactiegegevens bekijkt, kunnen zich afmelden voor de reclames, maar wie helemaal niet wil dat de bank gegevens verzamelt moet contact met de bank opnemen.

Donderdagavond maakte de bank echter bekend het analyseren voorlopig alsnog stop te zetten. "Wij gaan nu eerst het gesprek aan om helderheid te krijgen", zegt directeur Retail Banking Frans van der Horst tegen de NOS. "Dus hebben we ook even gezegd: met het gebruik van betaaldata stoppen we." Hoe lang dat 'even' precies duurt, is niet bekend.

Rabobank

De Rabobank zegt op dit moment geen data van klanten te analyseren, maar dat in het verleden wel te hebben gedaan. Ook zij noemt het voorbeeld van het aanbieden van een studentenrekening als de bank ziet dat klanten studiefinanciering ontvangen. "Dat hebben we in het verleden weleens gedaan", zegt een woordvoerder. De bank stopte daar echter mee nadat ING vijf jaar geleden opperde klantdata te gaan verkopen aan externe adverteerders en daar veel kritiek op kreeg. "We zagen toen hoe gevoelig die discussie over privacy en data ligt. We ontwikkelen daarom nu een dashboard waarop klanten precies kunnen aangeven welke data ze wel en niet willen delen."

Over toekomstige plannen om persoonlijke aanbiedingen te doen, wil de woordvoerder niets zeggen, maar het werk aan een dashboard kan een aanwijzing zijn. "We willen de regie altijd bij de klanten leggen", zegt de woordvoerder. Ook de Rabobank wil nu in gesprek met de Autoriteit Persoonsgegevens over 'waar de gevoeligheden zitten'.

SNS en ASN

Dan is er nog de Volksbank, waaronder onder andere SNS en ASN vallen. Die bank is iets vager over hoe ze met klantdata omgaat, maar ook van klanten van SNS en ASN worden de betaalgegevens geanalyseerd. Dat gebeurt volgens een woordvoerder voor 'het financiële welzijn' van een klant, een wat ambigu begrip, dat niet per se direct marketing omvat, maar wel een vrij grondige analyse van de transactiegegevens. Aanvankelijk noemt de woordvoerder het voorbeeld waarbij een klant meer dan eens per maand rood staat of boetes betaalt aan het Centraal Justitieel Incassobureau. "Als we dan ook zien dat later die week de hypotheek moet worden betaald, kunnen we contact opnemen met de klant om bijvoorbeeld voor te stellen de hypotheeklasten gespreider te betalen."

De Volksbank wil klanten zo geen producten verkopen, zelfs niet als dat eigen producten zijn. "Het gaat alleen om het ondersteunen van een klant bij zijn persoonlijke situatie", zegt de woordvoerder. Desondanks, of misschien wel mede daarom, is er ook geen opt-out voor die analyse. De bank zegt de bankervaring persoonlijker te willen maken en dat persoonlijke hulp daarbij goed past. "We moeten die gegevens verplicht analyseren van de wet. Iedere bank moet dat doen. Dan willen we klanten ook net zo goed helpen."

Geen analyse

Er zijn ook banken die heel bewust niets doen met betaalgegevens. Triodos en bunq doen dat uit principe niet. "Dit is juist een van de zaken waarin bunq anders is", zegt een woordvoerder van die laatste. "We gaan met privacy om zoals we met onze eigen privacy zouden omgaan en analyseren geen betalingsdata om berichten naar onze gebruikers te sturen." Een woordvoerder van Triodos is er net zo kort over. "Nee, we analyseren geen transactiegegevens en daar zijn voorlopig ook geen plannen voor."

Knab zegt dat het data alleen analyseert om te kijken wanneer een klant pint in het buitenland, zodat de bank een waarschuwings-sms kan sturen of kan tippen waar het voordeligst geld kan worden opgenomen. "Wij kijken altijd hoe we onze klanten financieel nog slimmer kunnen maken, bijvoorbeeld met tips om hun (spaar)doelen te bereiken", schrijft de bank in een reactie. "Een analyse op betaalgegevens kan daarbij helpen. Maar dat doen we alleen als de klant daar zelf toestemming voor geeft."

Het blijft volgens experts én volgens de Autoriteit Persoonsgegevens een beetje vaag of de plannen van ING nou mogen of niet, hoewel de brief van de privacywaakhond door veel lezers en media werd geïnterpreteerd alsof de toezichthouder het niet eens was met de plannen. De belangrijke nuance daarin is echter het woord 'niet zomaar'. Er zijn namelijk scenario's te bedenken waarin banken transactiegegevens wél mogen gebruiken.

Dat bevestigt een woordvoerder van de privacywaakhond. "We kunnen op deze vraag geen simpel ja of nee zeggen", zegt de woordvoerder. "We geven aan hoe de regels eruitzien en doen een toets. Het is dan de verantwoordelijkheid van de bank om te kijken of ze zich in de uitslag van die toets kan vinden." De banken baseren zich vervolgens op hun eigen uitleg van de privacywetgeving. Daarin staat bijvoorbeeld dat bedrijven bepaalde inbreuken mogen maken op de privacy van klanten of gebruikers als daarvoor een 'gerechtvaardigd belang' is. Er is geen precieze definitie van 'gerechtvaardigd belang', maar je kunt bijvoorbeeld denken aan de wettelijke regels die nu al voor iedereen gelden: het monitoren van transacties op het kopen van kinderporno of het financieren van terrorisme. Onder een gerechtvaardigd belang kán echter ook direct marketing vallen. Daarbij moet wel aan bepaalde regels worden voldaan. Het is bijvoorbeeld niet toegestaan om bijzondere persoonsgegevens te analyseren, zoals contributies aan een politieke partij, een vakbond of kerk.

Volgens Martijn van der Veen, jurist bij Privacy First, is het moeilijk te zeggen of de plannen van ING nu wel of niet zijn toegestaan. "Het lastige is dat het erop lijkt dat dit ook al in eerdere privacyverklaringen uit 2017 stond. Daarom zou je kunnen zeggen dat klanten er ooit mee akkoord zijn gegaan."

Is toestemming altijd toestemming?

Het is maar de vraag of je ook écht toestemming geeft als het doel ineens zo verandertDaarmee is de Consumentenbond het niet eens. Ook die is bezorgd over de plannen, zegt een woordvoerder. Een snelle forumpost leverde overweldigend negatieve reacties op, en uit een bijbehorende poll blijkt dat 96 procent van de forumbezoekers de plannen niet ziet zitten. Die poll is geen representatief onderzoek, geeft de woordvoerder toe, maar de bond kreeg in de afgelopen weken ook veel reacties van bezorgde burgers binnen.

De Consumentenbond denkt bovendien dat wat de banken doen, in strijd is met de AVG. Vooral het feit dat het gaat om een opt-outregeling, en dat die optie vrij lastig te vinden is op de website en niet in de app beschikbaar is, is de bond een doorn in het oog. Ook is het de vraag of een paar zinnen in een lange privacyverklaring die klanten moeten accepteren, wel genoeg toestemming is. Maar, zegt Van der Veen, bij dit soort gevallen blijft het lastig om te zeggen wat toestemming echt betekent. "Je hebt die gegevens voor het ene doel afgegeven, dat was een afgekaderd doel. Als een bank dat nu gebruikt voor een ander doel, dan speelt dat gerechtvaardigde belang niet meer mee. Bovendien, als je kijkt naar hoe verrast mensen nu reageren, kun je concluderen dat ze niet goed geïnformeerd zijn."

Andere definities

Opvallend is dat de banken die aan direct marketing doen, dat vaak niet zien als marketing of promotie. Voor ING ging het duidelijk om het aanbieden van producten, zoals een rekening of verzekering, maar de Rabobank denkt daar bijvoorbeeld anders over. "Wij hebben er weinig belang bij om een klant over te zetten naar een goedkopere rekening; dat doen we omdat het gaat om producten waarmee klanten beter af zijn." Ook wordt veiligheid vaak genoemd als argument om het klantgedrag te analyseren. ABN Amro spreekt bijvoorbeeld over 'een zorgplicht richting de klant'. "Voor een vakantie in Frankrijk hoef je misschien geen reisverzekering, maar als je op skivakantie bent, wordt dat een ander verhaal. Het kan heel veel geld kosten als je een helikopterredding nodig hebt. En als je terugkomt van een wereldreis, is het gewoon veiliger als je je werelddekking uitzet, daarvoor willen we kunnen waarschuwen."

De brief van de Autoriteit Persoonsgegevens is verrassend uitgesproken. Vaak wil de toezichthouder niet te diep ingaan op specifieke situaties en al helemaal niet voordat uitgebreid onderzoek is gedaan. Dat het in dit geval wel gebeurt, ligt volgens een woordvoerder deels aan de ophef die ontstond na de plannen van ING. "We kregen naar aanleiding daarvan veel klachten binnen van bezorgde burgers, maar tegelijk zien we wel signalen dat andere banken bezig zijn met soortgelijke plannen. Daarom willen we de hele sector waarschuwen", aldus de Autoriteit.