Privacyautoriteit: reclame op basis bankgegevens mag niet zomaar
Privacytoezichthouder Autoriteit Persoonsgegevens (AP) betwijfelt of banken de betaalgegevens van klanten wel voor marketing- doeleinden mogen inzetten.
AP zegt te betwijfelen of de ongevraagde verwerking van betaalgegevens van bankklanten wel in overeenstemming is met de Europese privacywet AVG.
Onlangs kondigde ING aan dat het 'persoonlijke aanbiedingen' aan klanten zou gaan doen op basis van de af- en bijschrijvingen op hun rekening. Het privacystatement werd aangepast en klanten doen automatisch mee. Wie zijn gegevens niet voor aanbiedingen wil laten gebruiken, moet zich nadrukkelijk afmelden bij ING.
Meer banken hebben zulke plannen
Volgens AP zijn meer banken dat van plan. "De AP heeft de indruk dat er meer banken zijn die (voornemens zijn) gegevens over transacties van klanten ‘verder te verwerken’ voor direct marketing-doeleinden", meldt de toezichthouder.
De autoriteit roept banken nu op om hun plannen te heroverwegen. AP heeft de Nederlandse Vereniging van Banken (NVB) een brief gestuurd, met spelregels waar banken zich aan moeten houden.
De toezichthouder wil banken verplichten om een 'verenigbaarheidstoets' uit te voeren als ze gegevens van klanten voor andere dingen willen gebruiken, dan waarvoor die data verzameld zijn.
Zo'n toets moet aantonen dat zulk gebruik noodzakelijk is. Zo niet, dan is nadrukkelijke toestemming van de klant nodig: een zogenoemde opt-in waarbij klanten zelf een knopje aan zetten, in plaats van de opt-out waarbij het knopje standaard aan staat.
Betaalrekening noodzakelijk, geen uitnodiging voor aanbiedingen
De toets is verplicht, tenzij klanten toestemming hebben gegeven of de verwerking van de gegevens zonder toestemming wettelijk verplicht is. Het hebben van een betaalrekening is volgens AP geen grondslag om aan te nemen dat klanten interesse hebben andere financiële producten.
Een betaalrekening is volgens de toezichthouder immers noodzakelijk en onmisbaar om aan de maatschappij deel te kunnen nemen. Bankklanten zijn daarom niet automatisch geïnteresseerd in bijvoorbeeld aanbiedingen van hypotheken of credit cards.
ING: 'Voorlopig geen persoonlijke aanbiedingen
ING zegt in een reactie de berichtgeving van AP te hebben gezien. "We zijn dat nu aan het bestuderen en zijn met de Autoriteit in gesprek", zegt ING-woordvoerder Renske Piet. "We zijn ook nog niet gestart met het versturen van aanbiedingen op basis van persoonsgegevens en zullen dat voorlopig ook niet doen."
Wel blijft ING klanten aanbiedingen sturen zoals zij die het afgelopen jaar ook al ontvingen. Deze aanbiedingen ontvangen klanten niet op basis van transactiegegevens, maar omdat ze klant zijn bij ING.
Daarnaast sluit ING zich aan bij de reactie van de Nederlandse Vereniging van Banken. De NVB gaat met de toezichthouder in gesprek. De vereniging stelt: "AP laat in haar brief weinig mogelijkheden om klanten op basis van betaaldata te wijzen op andere producten van de bank, ook niet als dat evident in het belang van de klant is."
Volgens AP is het niet onmogelijk voor banken om direct marketing-activiteiten op betaalgegevens van klanten te baseren. De waakhond zegt wel met klem dat banken duidelijk toestemming nodig hebben, en vraagt alle banken die dat aangaat om hun voornemens te heroverwegen.
Nieuwe regels ook voor PSD2-gebruik
De regels gelden ook voor bedrijven die middels de nieuwe PSD2-regeling toegang krijgen tot de betaalgegevens van Nederlanders. Via PSD2 kunnen Nederlanders hun rekening koppelen aan bijvoorbeeld een app die hun betaalgedrag inzichtelijk maakt.
De maker van die app krijgt dan inzicht in het betaalgedrag van de klant, maar moet nadrukkelijk om toestemming vragen om die voor marketingdoeleinden te gebruiken.
Consumentenbond
De Consumentenbond is blij met het nieuws. "Wij zijn hier ook al tegen in het verweer gekomen", zeggen ze. "Uit een poll van ons bleek ook al dat mensen hier helemaal geen prijs op stellen."