Transactiegegevens niet voor direct marketingdoeleinden gebruiken
Getriggerd door de direct marketing plannen van ING heeft de Autoriteit Persoonsgegevens duidelijk gemaakt dat de transactiegegevens van klanten niet zonder toestemming gebruikt mogen worden voor direct marketing. De AP roept banken op, die voornemens zijn persoonsgegevens in transactiegegevens te verwerken voor direct marketing-doeleinden, om dit te heroverwegen.
AP richt zich tot banken
De Autoriteit Persoonsgegevens (AP) heeft zich tot de banken gericht om hun plannen om persoonsgegevens in transactiegegevens te gebruiken voor direct marketingdoeleinden te heroverwegen. Hiertoe heeft de AP op 1 juli jl. een brief toegestuurd aan de Nederlandse Vereniging van Banken (NVB). De AP heeft de indruk dat banken (voornemens zijn) gegevens over transacties van klanten verder te verwerken voor direct marketing-doeleinden en waarschuwt dat verdere verwerking van persoonsgegevens voor direct marketingdoeleinden zonder toestemming van klanten waarschijnlijk in strijd is met de Algemene Verordening Gegevensbescherming (AVG)
Aankondiging ING
De aanleiding voor deze oproep is de aankondiging van ING dat zij overweegt haar klanten aanvullende producten aan te bieden op basis van de transactiegegevens. Deze aankondiging heeft geleid tot bezorgdheid onder consumenten die zich zorgen maken over de plannen van de bank om hun betaalgegevens te gaan gebruiken voor reclame. ING heeft inmiddels op het bericht van de AP gereageerd.
Bezwaren van de AP
De AP roept banken die (voornemens zijn) persoonsgegevens in transactiegegevens ‘verder te verwerken’ voor direct marketing-doeleinden nadrukkelijk op om dit te heroverwegen. De AP heeft in haar brief een leidraad als bijlage opgenomen. In deze leidraad licht de AP de overwegingen en de argumenten verder toe die aan deze brief ten grondslag liggen. Ik noem de meest belangrijke argumenten.
Noodzaak
Banken verwerken persoonsgegevens in transactiegegevens van klanten op basis van artikel 6 (1)(b) AVG. De banken verzamelen gegevens middels de uitvoering van de overeenkomsten met hun klanten. Dit doen zij om betalingstransacties te kunnen verwerken. Deze verwerking is noodzakelijk voor de uitvoering van de overeenkomst tussen de bank en de klant. De verwerking van persoonsgegevens in de uitvoering van de overeenkomst dient beperkt te worden tot hetgeen noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Deze gegevens dienen dus niet voor direct marketing-doeleinden te worden aangewend.
Doelbeginsel
Persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. Het is niet toegestaan om de persoonsgegevens vervolgens op een met het verzameldoel onverenigbare wijze te verwerken. Dit wordt het doelbindingsbeginsel genoemd. Verdere verwerking voor een ander doeleinde is alleen op limitatieve gronden toegestaan. Kortgezegd gaat het hier om toestemming dan wel een wettelijke verplichting of bevoegdheid.
Banken verzamelen de betreffende persoonsgegevens in transactiegegeven niet voor direct marketing-doeleinden. De banken verkrijgen die ter uitvoering van de overeenkomst met hun klanten voor het afhandelen van de transacties. Wanneer banken de bedoelde verdere verwerking niet op een van de uitzonderingsgronden kan baseren dan moet worden beoordeeld of er sprake is van verenigbaarheid van de verzameldoelen met de andere doeleinden van de verdere verwerking van de desbetreffende persoonsgegevens.
Verenigbaarheidstoets
De AP is van mening dat het hebben van een betaalrekening praktisch onmisbaar is. Een betaalrekening heeft een hoog nutskarakter en veronderstelt geen affiniteit met andere financiële producten.
Het hebben van een eigen betaalrekening met betaalpas, internetbankieren en mobiele bank app is tegenwoordig onmisbaar. Zonder betaalrekening kunt u geen inkomsten als loon, pensioen, uitkering en/of toeslagen ontvangen, geen geld opnemen bij de geldautomaat, niet pinnen bij verkooppunten en geen ontvangen rekeningen betalen. Kortom, zonder betaalrekening is het onmogelijk om aan het hedendaagse betalingsverkeer deel te nemen.
Verder motiveert de AP dat in transactiegegevens ook niet-financiële informatie is opgenomen. Hierbij kan worden gedacht aan locatiegegevens met een tijdsaanduiding en de partij die bij de betalingstransactie betaler dan wel begunstigde is. Transactiegegevens kunnen tevens informatie over lidmaatschappen van bijvoorbeeld religieuze instellingen, politieke partijen of vakbonden bevatten. De AP merkt hierbij op dat aan de verwerking van deze gevoelige, ofwel bijzondere, categorieën van persoonsgegevens verhoogde risico’s voor de rechten en vrijheden van de betrokkenen zijn verbonden.
Op basis van het bovenstaande concludeert de AP dat een redelijk denkende en handelende betrokkene mag verwachten dat zijn transactiegegevens niet zullen worden verwerkt voor andere doeleinden dan de uitvoering van betalingstransacties, tenzij een verdere verwerking voor andere doeleinden is gebaseerd op zijn toestemming, een wettelijke verplichting of bevoegdheid. Hierbij kent de AP veel waarde toe aan de functie van een betaalrekening en de relatie met de bank in dat verband. Immers, de klant van een bank kan zich in het maatschappelijke verkeer steeds moeilijker aan het gebruik van een betaalrekening kan onttrekken.
Relatie met PSD2
De AP roept de banken die het aangaat op om deze voornemens, mede met inachtneming van het bovenstaande te heroverwegen. De vraag is echter of dit ook geldt voor andere partijen die betalingsgegevens (gaan) verwerken? Hierbij denk ik aan de recente implementatie van de herziene Richtlijn betreffende betalingsdiensten, PSD2. Op grond hiervan krijgen nieuwe toetreders, account information service providers (AISP) binnenkort toegang tot de betaalmarkt. Deze AISP’s voeren geen betalingstransacties uit; zij bieden op grond van een overeenkomst rekeninginformatiediensten aan. De “nutsfunctie” zoals de AP deze in haar brief noemt is hier niet aan de orde en de overeenkomst tussen de aanbieder en afnemer wordt hierop specifiek toegerust (incl. toestemming). Het lijkt me dan ook niet dat de AP zich met deze brief ook tot de AISP’s richt.
Ook relevant voor andere aanbieders!
Naar mijn mening gaat het signaal dat de AP hier geeft ook op voor andere (diensten)aanbieders. Het is dan ook raadzaam dat organisaties die de gegevens van hun klanten willen gebruiken voor direct marketingdoeleinden die vooraf goed (laten) toetsen aan de AVG.