Bankgegevens en direct-marketing: toestemming, gerechtvaardigd belang en de verenigbaarheidstoets

16/07/2019 - Vorige week was er veel ophef over reclame door banken. Banken gebruiken bank- en betaalgegevens van klanten om hen gepersonaliseerde reclame te sturen over de eigen dienstverlening van de bank. De AP ontving hier vragen over en mede op basis daarvan heeft de AP een brief gestuurd naar de Nederlandse Vereniging van Banken (NVB). De AP waarschuwt in haar brief dat de verdere verwerking van bankgegevens voor direct marketing doeleinden waarschijnlijk onverenigbaar is met het doel waar de gegevens voor ontvangen zijn. Wat is hier nu precies aan de hand?

Privacy Statement bijgewerkt

Begin juni 2019 laat de ING aan klanten weten dat haar privacy statement voor klanten is bijgewerkt. In de nieuwe versie staat dat de ING, op basis van de persoonlijke situatie van de klant, brieven, e-mails of sms-berichten kan versturen met een aanbieding van een product of dienst van de ING. Op 1 juli 2019 stuurt de Autoriteit Persoonsgegevens (AP) een brief naar de NVB om aan te geven dat zij zich zorgen maakt over de plannen van banken om betaalgegevens te gebruiken voor gepersonaliseerde reclame. Ter verduidelijking, de ING is zeker niet de enige bank met dergelijke voorwaarden in hun privacy statement.

Aanleiding voor deze brief was dat, volgens de AP, veel mensen gebeld en gemaild hadden met de toezichthouder, omdat zij zich zorgen maken over deze plannen van banken. De NVB wil graag in gesprek met de AP over de mogelijkheden om betaaldata te gebruiken. Zij stelt een spanningsveld te ervaren tussen de eisen die voortvloeien uit privacywetgeving en de “verantwoordelijkheid van de banken om hun klanten te behoeden voor financiële problemen of hen te wijzen op mogelijke voordelen.” Verder stelt zij dat in het verleden het gebruik van betaaldata voor marketingdoeleinden door banken door het College Bescherming Persoonsgegevens (CBP) werd toegelaten en dat de privacywetgeving niet is veranderd.

Toestemming derde partijen in 2014

Het is niet bekend naar welke situatie de NVB specifiek refereert, maar er is een bekend geval uit 2014. Destijds werd bekend dat de ING haar klanten persoonlijke advertenties van derden wilde aanbieden, mede op basis van de betaalgegevens van de klant. Dit zou een proef moeten zijn en, mits succesvol, zou dit beschikbaar worden gesteld aan alle ING-klanten. De bank zou vooraf toestemming aan de klanten gaan vragen voor deze verwerking. Deze plannen werden destijds zeer kritisch ontvangen door zowel de Consumentenbond als het CBP.

Jacob Kohnstamm, destijds voorzitter van het CBP, gaf duidelijk aan dat hij twijfelde of hier sprake kon zijn van rechtsgeldige toestemming: ”Dat kan een nogal misvormde deal worden: uw geld of uw data. […] Bovendien vraag ik me af in hoeverre je weloverwogen toestemming kan geven voor iets dat je niet (sic) begrijpt.”

De ING benadrukte in een open brief dat geen individuele klant- en transactiegegevens met derden werden gedeeld of verkocht en dat bij de proef alleen analyses met transactie- en klantdata zouden worden uitgevoerd als de klant daarvoor toestemming had gegeven. Of in deze situatie, met deze verwerking van persoonsgegevens, sprake was van rechtsgeldige toestemming is niet getoetst. Vanwege te veel negatieve reacties werd de proef uitgesteld en kreeg het concept niet de kans zichzelf te bewijzen.

Perspectief van de AP

Fast forward naar 2019. ING betrekt nu geen derde partijen bij het doen van persoonlijke aanbiedingen, maar doet alleen aanbiedingen over eigen dienstverlening op basis van de persoonsgegevens die de ING heeft verzameld van klanten. ING wil de aanbiedingen gaan sturen in mails, sms of brieven, en ook via apps of op websites. We behandelen in dit artikel overigens alleen de AVG, niet de Telecommunicatiewet.

Verder wijst, na klein onderzoek naar privacy statements van andere grote Nederlandse banken het uit dat zij ook persoonsgegevens verwerken voor gepersonaliseerde marketing doeleinden (zowel de Rabobank als de ABN-AMRO hebben soortgelijke bepalingen opgenomen in de Privacy Statement op hun website). Vanwege het feit dat er vorige week ophef was over het privacy statement van de ING, zullen we voornamelijk deze hier als voorbeeld gebruiken.

De AP stelt dat een bank betaalgegevens van klanten verwerkt, omdat die verwerking noodzakelijk is voor de uitvoering van de overeenkomst (art. 6(1)(b) AVG). De AP gaat ervan uit dat deze verwerking op rechtmatige wijze plaatsvindt. Om daarna deze persoonsgegevens te gebruiken voor een ander doeleinde (namelijk: direct marketing) moet de bank volgens de AP de verenigbaarheidstoets doen van art. 6(4) AVG. De bank moet toetsen of de doeleinden waarvoor de gegevens worden verwerkt verenigbaar zijn. Als er geen sprake is van verenigbaarheid, dan moet de bank om toestemming vragen.

De AP stelt in haar brief aan de NVB dat “de verdere verwerking van persoonsgegevens in transactiegegevens voor direct-marketing-doeleinden zonder toestemming waarschijnlijk onverenigbaar is met het doel waarvoor de gegevens oorspronkelijk zijn verzameld.” De AP beargumenteert dat een betaalrekening een hoog ‘nutskarakter’ heeft, dat het tegenwoordig praktisch verplicht is om over een betaalrekening te beschikken en dat het hebben van een betaalrekening niet betekent dat de klant ook interesse heeft in andere financiële producten van de bank. Verder stelt de AP dat tussen financiële producten van banken een grote verscheidenheid te vinden is en dat daarom van gelijkwaardige of soortgelijke producten en verwantschap tussen verwerkingsdoeleinden niet te spreken is.

Verder merkt de AP op in bank- en betaalgegevens ook gevoelige en bijzondere persoonsgegevens kunnen zitten. Bijvoorbeeld locatiegegevens met tijdsaanduiding, betalingstransacties bij ziekenhuizen of apotheken en wellicht informatie over lidmaatschappen van religieuze instellingen, politieke partijen of vakbonden. De aard van deze gegevens leidt ertoe dat er een redelijke verwachting is voor de klant dat deze gegevens juist niet voor andere doeleinden worden verwerkt.

Perspectief van de bank

Het is echter ook goed te begrijpen, vanuit het perspectief van de bank, dat zij bank- en betaalgegevens gebruiken voor gepersonaliseerde aanbiedingen en van mening zijn dat de doeleinden wel verenigbaar zijn.

Ten eerste de context waarin de persoonsgegevens zijn verzameld. Hier moet worden gekeken naar de relatie tussen de bank en de klant en de redelijke verwachtingen van de klant. De bank verwerkt bank- en betaalgegevens en op basis van deze gegevens biedt zij haar eigen diensten aan die specifiek bij die klant passen. Desbetreffende individu is reeds klant bij deze organisatie en krijgt vervolgens op basis van haar handelingen aanbiedingen te zien van deze zelfde organisatie. In deze context kan het redelijk zijn om te verwachten dat de bank dergelijke aanbiedingen doet op basis van de gegevens die de klant heeft ‘aangeleverd’ door transacties uit te voeren.

Ten tweede het verband tussen het nieuwe doel en het oorspronkelijke doel. Het oorspronkelijke doel is het documenteren van bank- en betaalgegevens van de klant en het gebruiken van die bankrekening. Het nieuwe doeleinde is het versturen van persoonlijke aanbiedingen specifiek gericht op deze bank- en betaalgegevens. Bijvoorbeeld wanneer studiefinanciering op een normale bankrekening wordt gestort, wordt een studentenrekening onder de aandacht gebracht. Zo wordt een dienst onder de aandacht gebracht die direct verbinding heeft met het gebruiken van de huidige bankrekening. In een dergelijk geval is het verband tussen het nieuwe en oorspronkelijke doel vrij nauw met elkaar verbonden.

Een kanttekening bij beide punten is dat, zoals de AP stelt, financiële producten van banken een grote verscheidenheid vertonen en dat het per product kan verschillen hoe het verband tussen het nieuwe en oorspronkelijke doel is en of er een redelijke verwachting is ten aanzien van de klant om een dergelijke aanbieding te krijgen op basis van de eigen bank- en betaalgegevens.

Desalniettemin is vanuit het perspectief van de bank te beargumenteren dat wel aan de verenigbaarheidstoets wordt voldaan. Het zou goed zijn voor beide partijen om samen aan tafel te zitten om dit volledig uit te werken. Dit is namelijk dagelijkse praktijk voor de bankensector en er is behoefte aan een heldere uitleg hierover. Verder gaat de AP in haar brief niet in op een eventueel gerechtvaardigd belang van de banken. Dit terwijl de banken aangeven de gegevens te willen verzamelen voor het doel direct marketing. De AVG vermeldt expliciet dat direct marketing een gerechtvaardigd belang is. Het zou interessant zijn om te weten hoe de AP daar in deze context naar kijkt.  Zoals een woordvoerder van De Volksbank op 3 juli jl. in de Volkskrant stelt: ”Er is behoefte aan duidelijkheid over wat nou precies wel en niet mag onder de nog vrij nieuwe privacywetgeving. Goed dat daarover een dialoog ontstaat.”

Conclusie

Mag een bank de bank- en betaalgegevens van klanten gebruiken voor gepersonaliseerde reclame richting die klanten? Enerzijds heeft de AP  in haar brief naar de NVB beargumenteerd dat dit op basis van de verenigbaarheidstoets lastig te legitimeren is. Anderzijds is vanuit het perspectief van de banken ook te beargumenteren dat de verdere verwerking juist wel verenigbaar is met het doeleinde van de oorspronkelijke verwerking.

Als de doelen niet verenigbaar zijn, en er is geen andere grondslag, dan zal de bank toestemming moeten vragen. Deze toestemming moet dan wel aan alle eisen van de AVG voldoen. Dat betekent in ieder geval dat de toestemming vrijelijk gegeven moet worden, dat de klant goed en helder geïnformeerd moet zijn en dat toestemming weer gemakkelijk in te trekken moet zijn. Vooral van belang is dat de informatie richting de klant zeer open, helder en duidelijk is om alle verwarring en onduidelijkheid te voorkomen. Zo zou de huidige wijze van gepersonaliseerde aanbiedingen op basis van bank- en betaalgegevens alsnog zijn doorgang vinden, maar ervaring leert dat bij het vragen van rechtsgeldige toestemming het aantal klanten dat ermee instemt laag ligt. In tegenstelling tot de situatie in 2014, zou het goed zijn als in deze situatie wel een uitspraak wordt gedaan door de AP met uitgebreide uitleg, zodat er voor klanten en banken duidelijkheid is.

Mocht uw organisatie wellicht verzamelde persoonsgegevens van uw klanten willen gebruiken om gepersonaliseerde reclame aan te bieden of voor een ander doel te gebruiken, en heeft u hulp nodig dit op een goede manier in te richten? Laat dat ons vooral weten! Considerati heeft jarenlang ervaring bij het adviseren en helpen van organisaties hoe nieuwe modellen met digitale technologie en data goed te laten landen in de samenleving, vanuit zowel compliance als maatschappelijk draagvlak. En mocht u andere vragen hebben naar aanleiding van dit artikel, laat vooral van u horen! Via het contactformulier kunt u gemakkelijk met ons in contact komen.

Ka Wing Falkena Juridisch adviseur

Heeft u nog vragen?

Neem contact met me op