‘Het is zeer de vraag in hoeverre de plannen van ING in het belang van de klant zijn en in hoeverre de bank de rechtmatige verwerking van de klantgegevens kan waarborgen.’
Drie fracties in de Tweede Kamer stelden schriftelijke vragen naar aanleiding van het voornemen van ING om klantdata ter beschikking te stellen aan geïnteresseerde bedrijven. Intussen heeft ING aangekondigd haar plan niet uit te voeren alvorens daarover overleg te voeren met onder meer toezichthouders en consumentenorganisaties. De antwoorden zijn desondanks bijzonder interessant, omdat het kabinet duidelijke grenzen aangeeft waarbinnen banken, verzekeraars en ook energie-netwerkbeheerders moeten blijven bij het gebruik van big data.
De vragen van D66 zijn beantwoord door staatssecretaris Teeven, terwijl minister Dijsselbloem de beantwoording van de vragen van VVD en SP voor zijn rekening nam.
Dijsselbloem tegen SP: “Met de AFM en DNB ben ik kritisch over de plannen van ING. Een onzorgvuldige aanpak en slechte communicatie kan het vertrouwen van de consument in de bancaire sector ernstig schaden. De AFM heeft de banken opgeroepen om met hun klanten de dialoog aan te gaan over dit onderwerp. Wij ondersteunen deze oproep.” En: “Nederland heeft een solide, integere en concurrerende bankensector nodig. Daarom is gekozen voor een bankenvisie met een brede aanpak die de bankensector weer sterk en stabiel maakt en die bijdraagt aan het herstel van vertrouwen in de sector. Dergelijke projecten brengen veel maatschappelijke onrust met zich mee. Een onzorgvuldige aanpak en slechte communicatie kan het vertrouwen van de consument in de bancaire sector ernstig kan schaden.”
Dijsselbloem tegen VVD: “Ik sta voor een bancaire sector die dienstbaar is aan de Nederlandse economie en waar de klant centraal staat. Het is echter zeer de vraag in hoeverre de plannen van ING in het belang van de klant is en in hoeverre de bank de rechtmatige verwerking (waaronder de veiligheid) van de klantgegevens kan waarborgen. Of dit het geval is, zullen de banken die volledig op de hoogte zijn van de omvang en aard van de activiteiten zelf moeten aantonen. Een onzorgvuldige aanpak en slechte communicatie kan het vertrouwen van de consument in de bancaire sector ernstig schaden.”
Wet bescherming persoonsgegevens en Gedragscode
Teeven tegen D66: “De Consumentenbond heeft er met name moeite mee dat de bank klantgegevens zou gebruiken voor een ander doel dan waarvoor ze verstrekt zijn; dit lijkt niet in lijn met de Gedragscode verwerking persoonsgegevens financiële instellingen waaraan ook ING is gebonden. De Gedragscode bepaalt onder meer dat persoonsgegevens van cliënten in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt en dat zij niet verder worden verwerkt op een wijze die “onverenigbaar” is met de doeleinden waarvoor ze zijn verkregen. De Gedragscode vult nader in welke mogelijkheden de bank heeft om verkregen persoonsgegevens voor een ander doeleinde te gebruiken dan de uitvoering van de overeenkomst. De Gedragscode bevat geen bepalingen over het gebruik van de persoonsgegevens voor andere doeleinden in de vorm van verstrekkingen aan derde partijen.
Dit betekent niet dat het gebruik van de persoonsgegevens voor andere doeleinden daarmee categorisch is uitgesloten.
De Wet bescherming persoonsgegevens (Wbp) opent in elk geval de mogelijkheid om een rechtvaardiging daarvoor te zoeken in toestemming van de klant (artikel 8a).
Die toestemming zal wel aan specifieke eisen moeten voldoen. In artikel 1 aanhef en onder i Wbp is namelijk bepaald dat onder toestemming van een betrokkene wordt verstaan: ‘elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt’.
Hierbij is onder andere van belang dat niet van een rechtsgeldige toestemming kan worden gesproken als de betrokkene onder druk van omstandigheden waarin hij verkeert of de relatie waarin hij staat tot de verantwoordelijke tot toestemming is overgegaan. Als tweede voorwaarde geldt dat de wilsuiting van de betrokkene betrekking moet hebben op een bepaalde gegevensverwerking of een beperkte categorie van gegevensverwerkingen. Duidelijk moet zijn welke verwerking, van welke gegevens, voor welk doel zal plaatsvinden, en als het daarbij gaat om een verstrekking aan derden, ook aan welke derden. Dit betekent dat een zeer brede en onbepaalde machtiging niet als toestemming kan worden aangemerkt. Als derde voorwaarde geldt ‘informed consent’: de betrokkene kan slechts verantwoord toestemming geven wanneer hij zo goed mogelijk is ingelicht.”
Vraag SP: “Wat wordt bedoeld met "expliciete toestemming", waarover een woordvoerder van het ministerie van Financiën aangaf dat deze nodig is voor een dergelijk handelen door ING?”
Antwoord Dijsselbloem:
“In dit geval werd verwezen naar de ondubbelzinnige toestemming van de cliënt zoals verwoord in artikel 8a van de Wbp. Voorzover betaalgegevens als bijzondere persoonsgegevens kunnen worden aangemerkt is uitdrukkelijke toestemming vereist.” En: “Als de bank voor commercieel gebruik van betaalgegevens gebruik maakt van de rechtvaardigingsgrond van artikel 8 onder a Wbp, moet de cliënt zijn ondubbelzinnige toestemming hebben gegeven, moet de toestemming in alle vrijheid gegeven kunnen worden en te allen tijde kunnen worden ingetrokken.”
Netwerkbeheerders
Teeven tegen D66: “Netbeheerders mogen op basis van de Elektriciteitswet 1998 hun klantendata niet voor andere doeleinden gebruiken dan voor het uitvoeren van hun wettelijk opgedragen taak. Daarnaast geldt dat netbeheerders en ook bedrijven die elektriciteit leveren gebonden zijn aan de Wet bescherming persoonsgegevens. Hierdoor mogen klantendata (bijvoorbeeld de meterstanden van een huishouden) niet verder worden verspreid dan voor het doel waarvoor ze zijn verzameld en er mag dus geen geld aan worden verdiend zonder expliciete toestemming van de betrokkene.”
