ING gebruikt betaalgegevens voor persoonlijke reclame, zo kopt NRC.nl op 6 juni 2019. De woordvoerder van de bank vertelde het NRC zelfs dat er sprake zou zijn van een gerechtvaardigd belang. De privacy-toezichthouder, de Autoriteit Persoonsgegevens (AP), komt in actie en verricht onderzoek. Op de website van de AP staat sinds 3 juli 2019 dat banken geen betaalgegevens mogen gebruiken voor reclamedoeleinden. Wat mag er precies niet en hoe onderneemt de AP actie als jouw bedrijf zich niet aan de regels houdt?
Via betalingsafschriften kun je werkelijk alles zien van iemand of van een bedrijf. Ontvangt de persoon loon of inkomen uit zijn bedrijf? Toeslagen of uitkeringen? Is er sprake van betalingstransacties in apotheken of seksclubs? Waaraan iemand zijn geld besteed, lidmaatschappen en activiteiten, alles is te zien. Zelfs iemands locatie is ervan af te lezen. Als een bank deze informatie gebruikt teneinde producten aan te bieden, dan strookt dat niet met het doel waarmee een bank deze gegevens onder zich heeft.
De Betaalvereniging Nederland omschrijft het als volgt: ‘‘Het hebben van een eigen betaalrekening met betaalpas, internetbankieren en mobiele bank app is tegenwoordig onmisbaar. Zonder betaalrekening kunt u geen inkomsten als loon, pensioen, uitkering en/of toeslagen ontvangen, geen geld opnemen bij de geldautomaat, niet pinnen bij verkooppunten en geen ontvangen rekeningen betalen. Kortom, zonder betaalrekening is het onmogelijk om aan het hedendaagse betalingsverkeer deel te nemen.’’[1]
Een bankrekening is tegenwoordig dus onmisbaar. Daarom is het zelfs een wettelijk recht geworden om een bankrekening te hebben, zie artikel 4:71f e.v. Wft.
Een bank verwerkt betalingsgegevens teneinde betalingsverkeer mogelijk te maken. Dit is waar je de bank voor inschakelt. Dit ben je overeengekomen met de bank. De AP merkt op dat de verwerking van gevoelige en/of bijzondere categorieën van persoonsgegevens naar hun aard, eerder een redelijke verwachting creëert dat deze gegevens niet voor andere doeleinde worden verwerkt.
De AP concludeert dan ook dat een redelijk denkende en handelende persoon (de betrokkene) – juist vanwege de functie van een betaalrekening en de in dat licht te beschouwen verhouding met een bank – redelijkerwijs mag verwachten dat persoonsgegevens in transactiegegevens niet voor andere doeleinden dan de uitvoering van de betalingstransactie worden verwerkt, tenzij een verdere verwerking voor andere doeleinden gebaseerd is op de toestemming van de betrokkene of een wettelijke verplichting dan wel bevoegdheid.
Teneinde direct marketing mogelijk te maken zijn de algemene voorwaarden van de bank aangepast. De overeenkomst met de bank is dus aangepast zodat persoonlijke reclame mogelijk is. Met je akkoord op de nieuwe algemene voorwaarden, ga je akkoord met direct marketing. Is deze toestemming voldoende? Dat hangt dan weer af hoe de toestemming is gevraagd… Lees meer over direct marketing op de website van de AP.
De banken zijn in ieder geval gewaarschuwd dat direct marketing en aanbiedingen niet zonder meer is toegestaan.
Werken volgens de AVG Houd er rekening mee dat elk bedrijf bij gegevensverwerking aan de volgende basisbeginselen van de Algemene Verordening Gegevensbescherming moet voldoen. Het is niet een kwestie van ‘met welke zullen we vandaag eens rekening houden‘? Alle zes zijn van belang bij elke verwerking. Zodra je een persoonsgegevens inziet of wijzigt, dan is er al sprake van verwerking. Voldoe je niet aan de verplichtingen voortvloeiende uit de AVG dan verricht de AP nader onderzoek. Vervolgens kan een waarschuwing en zelfs een boete het gevolg zijn.
Pas de volgende zes basisbeginselen toe en zorg ervoor dat hieraan automatisch wordt voldaan door de bedrijfsprocessen er op aan te passen:
1. Alleen voor gerechtvaardigd doel;
2. Gegevensbeperking;
3. Rechtmatige grondslag;
4. Zorgvuldig en beveiligd;
5. Transparant, rechtmatig en behoorlijk;
6. Bewaarbeperking.
Conclusie Mijns inziens is het niet wenselijk om banken jouw betaalgegevens te laten gebruiken teneinde je gericht van reclame te voorzien. Dit vanwege de gevoeligheid van de verwerkte gegevens. Net zo min als dat het is toegestaan voor banken om aan koppelverkopen te voldoen.
Slechts het aanpassen van de algemene voorwaarden met de mededeling dat je met akkoord op de algemene voorwaarden ook akkoord gaat met reclame, is onvoldoende. De betrokkene moet de keuze houden akkoord te gaan. Of juist geen akkoord te geven.
Banken, wees transparant en verwerk behoorlijk!
Meer weten over de AVG en hoe deze toe te passen in uw bedrijfsvoering? Neem vrijblijvend contact op met Sylvia Punt en Ingrid Masselink.
[1] /www.basisbankrekening.nl/aanvragers/uitleg/
Juriste Punt, uw juriste aan huis