Direct marketing op basis van transactiegegevens: mag uw bank een reisverzekering aanbieden na het boeken van een vakantie?

Share
Direct marketing op basis van transactiegegevens

Op 19 juni kreeg ik een bericht van de ING dat het privacy statement is bijgewerkt. In dat bericht stelde de ING dat zij mij een beetje kennen door mijn bij- en afschrijvingen en dat zij op basis van die gegevens mij betere tips kunnen geven of eigen ING-producten kunnen aanbieden op het juiste moment. Dat de ING ‘mij een beetje kent’ geloof ik meteen. Ik betaal bijna alles met mijn pinpas en ik ben een fanatiekeling als het gaat om online shopping. Of de ING al die bij- en afschrijvingen ook mag gebruiken voor persoonlijke direct marketing is echter twijfelachtig.

Bij het openen van mijn betaalrekening heb ik een overeenkomst gesloten met de ING. Op basis van die overeenkomst mag de ING mijn persoonsgegevens in transactiegegevens verwerken, zodat ik betalingen kan doen en ontvangen.[1] Wanneer de ING deze transactiegegevens gaat verwerken voor iets anders dan waarvoor ik de bankrekening aanvankelijk heb geopend, kan dat in strijd zijn met het doelbindingsbeginsel. Dit beginsel schrijft voor dat persoonsgegevens moeten worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en dat persoonsgegevens vervolgens niet verder mogen worden verwerkt op een wijze die onverenigbaar is met die doeleinden.[2] Is het kunnen doen van betalingen verenigbaar met direct marketing? De Autoriteit Persoonsgegevens (AP) beantwoordt die vraag ontkennend in een brief aan de Nederlandse Vereniging van Banken (NVB).[3] De AP acht daarbij van groot belang ‘’dat personen in de huidige tijd praktisch ‘verplicht’ zijn om over een betaalrekening te beschikken om op een normale wijze aan het maatschappelijk verkeer te kunnen deelnemen’’. Derhalve mag volgens de AP uit het hebben van een betaalrekening niet de interesse in persoonlijke direct marketing worden verondersteld. Tevens merkt de AP op dat uit transactiegegevens een nauwkeurig beeld van het leven van een persoon kan worden gevormd en zelfs bijzondere persoonsgegevens kunnen worden afgeleid.[4] Denk daarbij aan betalingen in het ziekenhuis, een seksclub of voor het lidmaatschap van de politieke partij waarbij je bent aangesloten.

Bovenstaande zou anders zijn wanneer toestemming is gegeven voor de verdere verwerking van mijn transactiegegevens voor direct marketing.[5] De vraag is of bij het louter ontvangen van het bericht van de ING dat het privacy statement is bijgewerkt, kan worden gesproken van toestemming. Het feit dat de verwerking van transactiegegevens voor direct marketing als standaardinstelling wordt gehanteerd en ik daartegen zelf bezwaar moet maken, ook wel een opt-out regeling genoemd, overtuigt in ieder geval niet.

De NVB vraagt zich in een reactie onder andere af hoe de visie van de AP zich verhoudt tot een toekomst waarin data voor veel bedrijven steeds belangrijker worden en tot het feit dat privacyregelgeving ruimte biedt om verantwoord gebruik te maken van data voor marketingdoeleinden.[6] De NVB doelt daarmee op de bepaling waardoor de verwerking van persoonsgegevens rechtmatig zou zijn op basis van de behartiging van de gerechtvaardigde belangen van de bank, in plaats van de voornoemde overeenkomst met de bank.[7] Onder die gerechtvaardigde belangen kan immers direct marketing vallen.[8] Aan de ene kant kan het onwenselijk zijn dat, gelet op het ‘nutskarakter’ van een betaalrekening, een bank een gerechtvaardigd belang heeft bij direct marketing dat zwaarder weegt dan de bescherming van persoonsgegevens. Aan de andere kant betreft het alleen de marketing van eigen producten en diensten van de ING, hetgeen de ING op een transparante wijze heeft medegedeeld. Of de werkwijze van de ING in overeenstemming is met de privacywetgeving, is aan de AP (en uiteindelijk eventueel de rechter) om te bepalen, aldus de minister van Financiën.[9] De NVB gaat graag in gesprek met de AP.[10] Tot die tijd zal de ING geen aanbiedingen sturen van hun reisverzekering wanneer ik binnenkort mijn vakantie boek.[11]

Robin Creuels, LLM

[1] Art. 6 lid 1 sub b AVG.

[2] Artikel 5 lid 1 sub b AVG.

[3] https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/compliancebrief_nvb.pdf.

[4] Bijzondere persoonsgegevens zijn gevoelige persoonsgegevens zoals ras, religieuze en politieke opvattingen, gezondheid en seksueel gedrag en de verwerking daarvan is verboden (artikel 9 lid 1 AVG).

[5] Artikel 6 lid 4 AVG.

[6] https://www.nvb.nl/nieuws/banken-gaan-graag-in-gesprek-met-autoriteit-persoonsgegevens-over-betaaldata/.

[7] Artikel 6 lid 1 sub f AVG.

[8] Overweging 47 AVG.

[9] https://www.tweedekamer.nl/kamerstukken/kamervragen/detail?id=2019D30265&did=2019D30265.

[10] https://www.nvb.nl/nieuws/banken-gaan-graag-in-gesprek-met-autoriteit-persoonsgegevens-over-betaaldata/.

[11] https://www.ing.nl/de-ing/privacy-statement/reactie-op-bericht-AP.html.

Robin Creuels

Robin Creuels

Robin Creuels is werkzaam als AVG & Cybersecurity jurist bij The Privacy Factory. Zij is in het bezit van een master ICT- en Privacyrecht.

Recente publicaties

Privacy Weekly

Meld u aan voor Privacy Weekly en blijf op de hoogte van recente trends en ontwikkelingen rondom privacy.

Op zoek naar

Gratis AVG|Check

Volg ons op social media

Meld u aan voor Privacy Weekly

Aanmelden Privacy Weekly
Elke donderdag een privacy alert, blog of whitepaper in uw inbox!
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.