Op basis van direct marketing plannen van ING heeft de Autoriteit Persoonsgegevens duidelijk gemaakt dat transactiegegevens van klanten niet zonder toestemming mogen worden gebruikt voor direct marketing. In de bijlage van de brief van 1 juli 2019 aan de Nederlandse Vereniging van Banken zet de AP uiteen tot welke uitkomst de zogenaamde verenigbaarheidstoets in een geval als dit leidt. ING rest in de tussentijds niets dan te wachten tot de storm weer gaat liggen.
Eerder voorval
Weet u het nog? In 2014 wil ING een proef starten met het gebruiken van betalingsgegevens van klanten om ze aanbiedingen te kunnen doen van andere partijen. Het idee is om in de toekomst aan klanten die daarvoor toestemming hebben gegeven advertenties te laten zien die bij hun bestedingspatroon passen. Het is eenrichtingsverkeer: de klant ziet een advertentie van de adverteerder, maar ING zal geen gegevens van de klant aan de adverteerders verstrekken.
De bank weet het plan alleen niet helder uit te leggen. Het FD kopt op 10 maart 2014 naar aanleiding van uitlatingen van de bank “ING geeft adverteerder inzicht in klantgedrag”. De Volkskrant meldt diezelfde dag dat ING het betalingsgedrag van klanten wil verkopen. Op social media gaat het los. Een storm van protest steekt op. Alhoewel het plan van ING gebaseerd is op toestemming van de klant en ING geen gegevens aan adverteerders zal verstrekken, doet het plan het imago van ING geen goed. ING ziet uiteindelijk van de proef af.
Situatie in 2019
Fast forward naar 2019. ING wijzigt in mei van dit jaar haar privacyvoorwaarden. De klanten van ING ontvangen hierover een e-mail. ING probeert het luchtig te houden:
Door jouw af- en bijschrijvingen kennen we je een beetje. Op basis van die gegevens kunnen we je betere tips geven. Of een van onze eigen ING-producten aanbieden op het juiste moment. […] Wil je dat liever niet? Dan verander je dat eenvoudig in Mijn ING bij Privacy Instellingen. Dat heet ‘Recht van Bezwaar’.
Ook nu valt het direct marketing plan van ING niet in goede aarde bij haar klanten. En ook nu kun je je afvragen of de communicatie – mede in het licht van het sentiment in 2014 – optimaal is geweest. Voor professionals werkzaam in meerdere vakgebieden een interessant geval.
Privacy-aspecten bij gebruik gegevens voor een nieuw doel
Ook de AP heeft haar bedenkingen bij de plannen van de ING en zendt daarover op 1 juli een brief met bijlage met een analyse aan de Nederlandse Vereniging van Banken.
De bijlage is het waard om in zijn geheel gelezen te worden, maar hieronder gemakshalve een puntsgewijze samenvatting:
- De rechtsgrond voor de verwerking van betalingsgegevens is de overeenkomst tussen de bank en de klant (artikel 6 sub b AVG) met betrekking tot het product ‘betaalrekening’.
- Vanwege het gebruik van de betaalrekening worden transactiegegevens gegenereerd en deze transactiegegeven zijn of bevatten persoonsgegevens. Doelen die het generen van deze transactiegegevens dienen zijn (aangenomen: geen uitputtende opsomming) het bieden van de mogelijkheid aan de klant om deel te nemen aan het betalingsverkeer en het bieden van de mogelijkheid aan de klant om giraal geld om te zetten in chartaal geld en vice versa.
- Voor het verwerken van persoonsgegevens geldt het doelbindingscriterium. De gegevens mogen dus alleen gebruikt worden voor het doel waarvoor ze verzameld zijn.
- Verwerking voor een ander doel is alleen toegestaan als sprake is van toestemming (2014!) of als sprake is van een wettelijke verplichting. Of als die vlieger niet op gaat (zoals in het geval van ING 2019): als de nieuwe verwerking de verenigbaarheidstoets kan doorstaan.
Vervolgens laat de AP zien hoe men toetst of direct marketing doeleinden verenigbaar zijn met de oorspronkelijke doelen. Allereerst onderstreept de AP dat de verenigbaarheidstoets een versoepeling van het doelbindingscriterium is en restrictief moet worden geïnterpreteerd.
Factoren die bij de verenigbaarheidstoets moeten/kunnen worden betrokken, zijn:
- verwantschap tussen de doelen van de oorspronkelijke en beoogde nieuwe verwerking;
- de context van de verwerking;
- de aard van de persoonsgegevens en de verwachtingen van betrokkenen;
- de mogelijke gevolgen van de voorgenomen verdere verwerking voor betrokkene; en
- het bestaan van passende waarborgen.
Toets voor plannen ING
De AP bekijkt als eerste de verwantschap tussen de doeleinden van de gegevensverwerking in het kader van de betaalrekening en de gegevensverwerking in het kader van direct marketing. De AP concludeert dat die verwantschap er niet is. Als individu ontkom je niet aan het hebben van een bankrekening als je mee wil doen in het hedendaagse betalingsverkeer. De bankrekening heeft dus een hoog nutsgehalte. Interesse in een betaalrekening veronderstelt daarom op zichzelf niet tevens interesse in andere financiële producten.
Voorts geeft de AP iets aan over de context (het is voor de klant niet voorzienbaar welke gegevens worden verwerkt in het kader van direct marketing, er wordt door de ontwikkeling tot ‘cashless society’ steeds meer over het betalingsverkeer geregistreerd, analyse van de betalingsgegevens kan relatief eenvoudig een nauwkeurig beeld geven van het leven van een bepaalde persoon) de aard van de persoonsgegevens (niet-financiële informatie kan ingebakken zijn, zoals locatiegegevens en transactiegegevens met bijvoorbeeld ziekenhuizen, casino’s, sexclubs etc. waaruit gevoelige of bijzondere persoonsgegevens blijken) en de verwachting van de betrokkene(n) (de ‘expectation of privacy’ wordt hoger naarmate het gevoeligheidskarakter van de verwerkte persoonsgegevens toeneemt).
Ten aanzien van de mogelijke gevolgen van de verdere verwerking van de transactiegegevens voor andere doelen voor de rechten en vrijheden van betrokkene oordeelt de AP dat die groot zijn vanwege de gevoeligheid van de (soms bijzondere) persoonsgegevens en steeds groter wordende mate waarin betalingsgegevens worden geregistreerd.
Passende waarborgen ontbreken. De informatievoorziening van een bank aan de klant en mogelijkheid van het uitoefenen van het recht op bezwaar is, aldus de AP, geen passende waarborg.
Conclusie: toestemming nodig voor gebruik transactiegegevens t.b.v. direct marketing
Wat kunnen we hieruit concluderen? Direct marketing op basis van transactiegegevens mag niet, tenzij de bank toestemming heeft gevraagd aan de klant daarvoor (en deze ook heeft gekregen).
Mag de bank nu nooit meer een foldertje aan de klant sturen over nieuwe producten die ze op de markt brengt en die wellicht interessant zijn voor de klant? Zeker wel! Als de klant een hypotheek heeft bij de bank, dan is reclame voor een complementair (soortgelijk) product als een opstalverzekering of een glasverzekering toegestaan. Alleen de beslissing om die folder aan klant X te sturen mag niet worden gemaakt op basis van de analyse van de transactiegegevens van zijn betaalrekening.
Wilt u eens sparren over privacy? Neem contact op met ons Privacy Team (contactpersoon Nicole Makkes).
Neem contact op