AP: banken mogen transactiegegevens niet voor direct marketingdoeleinden gebruiken | 5 min

In een brief van 3 juli 2019 aan de Nederlandse Vereniging van Banken roept de Autoriteit Persoonsgegevens (AP) banken op om hun plannen om persoonsgegevens in transactiegegevens te gebruiken voor direct marketingdoeleinden te heroverwegen. De AP is van mening dat banken deze persoonsgegevens verkrijgen voor het uitvoeren van betaaltransacties en waarschuwt dat verdere verwerking van persoonsgegevens voor direct marketingdoeleinden zonder toestemming van klanten waarschijnlijk in strijd is met de Algemene Verordening Gegevensbescherming (AVG).

Waarom komt de AP met deze brief?

De brief is verstuurd naar aanleiding van de aankondiging van ING dat zij overweegt haar klanten aanvullende producten aan te bieden op basis van hun transactiegegevens en de daaropvolgende wijziging van haar privacyverklaring. Deze aankondiging heeft geleid tot klachten van consumenten en vragen in de Tweede Kamer.

Waarom vindt de AP dat transactiegegevens niet voor direct marketingdoeleinden mogen worden gebruikt?

In haar brief licht de AP de overwegingen en argumenten die ten grondslag liggen aan haar waarschuwing uitgebreid toe. Samenvattend komt de analyse van de AP op het volgende neer:

a. Banken verwerken persoonsgegevens die onderdeel zijn van transactiegegevens conform artikel 6 (1)(b) AVG.

De verwerking is noodzakelijk voor de uitvoering van de overeenkomst tussen de bank en de klant over de betaalrekening van de betreffende klant.

b. Op grond van artikel 5 (1)(b) AVG mogen banken alleen persoonsgegevens verzamelen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen de gegevens vervolgens niet verder op een met het verzameldoel onverenigbare wijze verwerken (het zogenaamde doelbindingsbeginsel).

Banken verzamelen de relevante gegevens via de uitvoering van de overeenkomsten met hun klanten om betalingstransacties te verwerken (de transactiegegevens worden gegenereerd door de verwerking van betalingstransacties) en niet voor direct marketing-doeleinden.

c. Indien de verdere verwerking voor een ander doel niet gebaseerd is op de toestemming van de cliënt of berust op een Unierechtelijke of lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23 (1) AVG bedoelde doelstellingen, moeten banken bepaalde criteria in overweging nemen om na te gaan of verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens in eerste instantie zijn verzameld (artikel 6 (4) AVG – de zogenoemde verenigbaarheidstoets).

De AP hanteert een restrictieve interpretatie bij de toepassing van de verenigbaarheidstoets. Zij is van mening dat het hebben van een betaalrekening praktisch ‘verplicht’ is om op normale wijze deel te nemen aan het maatschappelijk verkeer (een betaalrekening heeft een hoog ‘nutskarakter’) en geen affiniteit met andere financiële producten veronderstelt. Bovendien geven transactiegegevens een zeer gedetailleerd beeld van een consument als gevolg van de digitalisering van betalingen en de digitalisering in het algemeen. Volgens de AP zijn dergelijke gegevens niet alleen gevoelig vanwege hun financiële aard, maar kunnen zij ook ‘gevoelige’ of andere bijzondere persoonsgegevens bevatten (bijvoorbeeld betalingen aan ziekenhuizen, apotheken, vakbonden of politieke partijen). Dit schept een redelijke verwachting dat dergelijke gegevens niet voor andere doeleinden zullen worden gebruikt; de ‘expectation of privacy’ neemt toe wanneer het gevoeligheidskarakter van de verwerkte persoonsgegevens toeneemt. Daarnaast verwerken banken bij de verwerking van betalingstransacties niet alleen persoonsgegevens van hun klanten, maar ook van andere, bij de betalingstransactie betrokken derden (ook wel ‘silent party’ data genoemd).

Op basis van het bovenstaande concludeert de AP dat een redelijk denkende en handelende betrokkene – gelet op de functie van een betaalrekening en de relatie met de bank in dat verband – mag verwachten dat zijn transactiegegevens niet zullen worden verwerkt voor andere doeleinden dan de uitvoering van betalingstransacties, tenzij een verdere verwerking voor andere doeleinden is gebaseerd op zijn toestemming, een wettelijke verplichting of bevoegdheid.

De AP herhaalt dat het voor een consument steeds moeilijker wordt om zich aan het gebruik van een betaalrekening te onttrekken en dat de (gepercipieerde) vertrouwelijkheid in verband met de doelgebonden verwerking van transactiegegevens verloren zal gaan wanneer deze verder voor andere doeleinden wordt verwerkt.

Gelet de beschreven kenmerken van een betaalrekening, de ontwikkeling naar een steeds verdergaande registratie van het betalingsverkeer en de gevoeligheidsgraad van de persoonsgegevens die transactiegegevens kunnen bevatten, acht de AP de gevolgen voor de rechten en vrijheden van de consument aanzienlijk. Zij concludeert dat de transactiegegevens niet voor andere doeleinden dan de afwikkeling van de transactie kunnen worden verwerkt, tenzij deze verdere verwerking met toestemming, een wettelijke verplichting of bevoegdheid plaatsvindt. De AP merkt verder op dat de informatievoorziening aan betrokkenen en de mogelijkheid tot uitoefening van het recht van bezwaar verplichtingen zijn die direct volgen uit de AVG en dus niet (mede) kunnen gelden als passende waarborgen in de zin van artikel 6 (4) AVG.

Met het oog hierop roept de AP de banken die voornemens zijn transactiegegevens zonder toestemming van de klant verder te verwerken voor direct marketingdoeleinden op om hun plannen te heroverwegen, omdat dit waarschijnlijk onverenigbaar is met het doel waarvoor de gegevens oorspronkelijk werden verzameld. De AP benadrukt dat haar analyse niet betekent dat een bank helemaal geen direct marketingactiviteiten (meer) kan ontplooien, maar dat deze in overeenstemming met de geldende regels moeten worden uitgevoerd.

Enkele vragen naar aanleiding van de waarschuwing van de AP

De waarschuwing van de AP roept vragen op die relevant zijn voor partijen die actief zijn in het betalingsverkeer en mogelijk ook daarbuiten.

Een eerste vraag is of de brief nu betekent dat banken altijd toestemming van de klant nodig hebben om transactiegegevens verder  te verwerken voor direct marketingdoeleinden. In de brief wordt, wellicht bewust, niet ingegaan op het scenario waarin een bank al een opt-out biedt voordat betalingstransacties worden verwerkt, d.w.z. wanneer een gebruiker een bankrekening opent. Met zo’n actieve opt-out vooraf gaat de bank verder dan de AVG voorschrijft. Naar onze mening is het goed mogelijk dat een bank, onder de juiste omstandigheden en met de juiste waarborgen (inclusief een duidelijke opt-out), transactiegegevens kan gebruiken voor bepaalde direct marketingdoeleinden.

Een tweede vraag is of deze waarschuwing ook geldt voor andere financiële partijen – niet banken – die betalingsgegevens verwerken, zoals (andere) betaaldienstaanbieders? Gezien de recente implementatie van de herziene richtlijn betalingsdiensten (Richtlijn (EU) 2015/2366 – PSD2) krijgen veel nieuwe toetreders – binnenkort – toegang tot de betaalmarkt, met inbegrip van zogenaamde rekeninginformatie-dienstverleners (account information service providersAISP’s), waarvan het bedrijfsmodel gebaseerd is op de verwerking van betaalrekening-gegevens voor informatiedoeleinden. Dergelijke AISP’s voeren geen betalingstransacties uit; zij bieden (conform de overeenkomst met hun klant) rekeninginformatiediensten aan. Verandert dit de redenering van de AP? Men kan niet zeggen dat een rekeninginformatiedienst kwalificeert als een nutsfunctie. Betekent dit dan dat een consument die besluit om deze dienst af te nemen daarmee automatisch affiniteit heeft met andere financiële producten? En mag hij dus wel direct marketing over andere financiële producten van de AISP ontvangen? En hoe zit het dan met partijen als Amazon, Google, Uber, Facebook of een ander platform dat als AISP optreedt; mogen zij wel transactiegegevens van hun klanten gebruiken voor direct marketing over andere diensten en producten dan financiële producten?

Een andere vraag is of de overwegingen van de AP ook buiten de betaalsector gevolgen hebben en welke dan. De overwegingen van de AP zijn op een aantal punten algemeen geformuleerd en kunnen daardoor bijvoorbeeld ook relevant zijn voor verleners van nutsfuncties (water, gas en elektriciteit) en wellicht ook voor de telecomsector. Wij adviseren spelers in de genoemde sectoren dan ook om in ieder geval hun direct marketing- en upsell-programma’s nog eens goed tegen het licht te houden naar aanleiding van de brief van de AP.

Afsluitend

De brief van de AP is een duidelijk signaal aan banken dat transactiegegevens niet zomaar gebruikt kunnen worden voor direct marketingdoeleinden. Wij menen dat de brief van de AP ook relevant kan zijn voor andere ondernemingen die transactiegegevens gebruiken voor direct marketingdoeleinden. Ondernemingen die transactiegegevens van hun klanten willen gebruiken voor direct marketing en upselling doen er dan ook goed aan hun plannen vooraf goed aan de AVG te toetsen en daarbij deze brief mee te nemen.

Dit artikel is geschreven door: