| Ingediend | 12 maart 2014 |
|---|---|
| Beantwoord | 9 april 2014 (na 28 dagen) |
| Indieners | Kees Verhoeven (D66), Gerard Schouw (D66) |
| Beantwoord door | Fred Teeven (staatssecretaris justitie en veiligheid) (VVD), Jeroen Dijsselbloem (minister financiën) (PvdA) |
| Onderwerpen | financieel toezicht financiën |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2014Z04555.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20132014-1658.html |
Ja.
De Consumentenbond heeft er met name moeite mee dat de bank klantgegevens zou gebruiken voor een ander doel dan waarvoor ze verstrekt zijn; dit lijkt niet in lijn met de Gedragscode verwerking persoonsgegevens financiële instellingen waaraan ook ING is gebonden. De Gedragscode bepaalt onder meer dat persoonsgegevens van cliënten in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt en dat zij niet verder worden verwerkt op een wijze die «onverenigbaar» is met de doeleinden waarvoor ze zijn verkregen. De Gedragscode vult nader in welke mogelijkheden de bank heeft om verkregen persoonsgegevens voor een ander doeleinde te gebruiken dan de uitvoering van de overeenkomst. De Gedragscode bevat geen bepalingen over het gebruik van de persoonsgegevens voor andere doeleinden in de vorm van verstrekkingen aan derde partijen.
Dit betekent niet dat het gebruik van de persoonsgegevens voor andere doeleinden daarmee categorisch is uitgesloten. De Wet bescherming persoonsgegevens (Wbp) opent in elk geval de mogelijkheid om een rechtvaardiging daarvoor te zoeken in toestemming van de klant (artikel 8a). Die toestemming zal wel aan specifieke eisen moeten voldoen. In artikel 1 aanhef en onder i Wbp is namelijk bepaald dat onder toestemming van een betrokkene wordt verstaan: «elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt». Hierbij is onder andere van belang dat niet van een rechtsgeldige toestemming kan worden gesproken als de betrokkene onder druk van omstandigheden waarin hij verkeert of de relatie waarin hij staat tot de verantwoordelijke tot toestemming is overgegaan. Als tweede voorwaarde geldt dat de wilsuiting van de betrokkene betrekking moet hebben op een bepaalde gegevensverwerking of een beperkte categorie van gegevensverwerkingen. Duidelijk moet zijn welke verwerking, van welke gegevens, voor welk doel zal plaatsvinden, en als het daarbij gaat om een verstrekking aan derden, ook aan welke derden. Dit betekent dat een zeer brede en onbepaalde machtiging niet als toestemming kan worden aangemerkt. Als derde voorwaarde geldt «informed consent»: de betrokkene kan slechts verantwoord toestemming geven wanneer hij zo goed mogelijk is ingelicht.3
In artikel 9 lid 1 van de Wbp is bepaald dat persoonsgegevens niet verder worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. Volgens het tweede lid van genoemd artikel wordt bij de beoordeling of een verwerking onverenigbaar is met het doel waarvoor de gegevens zijn verkregen onder andere rekening gehouden met de verwantschap tussen oorspronkelijk en beoogd doel, aard van de gegevens, consequenties voor de betrokkene en de wijze waarop de gegevens zijn verkregen.
In de onderhavige context moet bij die beoordeling verder worden betrokken het vertrouwen van de cliënt in de bank dat wordt geboden door de financiële regelgeving, de overeenkomst, de algemene bankvoorwaarden, de Wbp en de Gedragscode.
De Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB) zijn kritisch over de plannen van ING. Een onzorgvuldige aanpak en slechte communicatie kan het vertrouwen van de consument in de bancaire sector schaden. Wij delen deze kritische reacties. De cliënt heeft een overeenkomst gesloten met zijn bank. Uit de Wbp vloeit voort dat op deze grondslag alleen persoonsgegevens mogen worden verwerkt die noodzakelijk zijn voor de uitvoering van de overeenkomst of het sluiten van die overeenkomst. De bank dient zich bij de verwerking van de gegevens overigens te houden aan de verplichtingen die zij als verantwoordelijke in de zin van de Wbp heeft voor het gebruik van persoonsgegevens door de bank. Voor andere doeleinden dan de uitvoering van de overeenkomst betreft, geldt als sectorale uitwerking van de Wbp de Gedragscode verwerking persoonsgegevens financiële instellingen. Deze Gedragscode is opgesteld door de Nederlandse Vereniging van Banken en het Verbond van Verzekeraars. Het Cbp heeft voor deze Gedragscode in april 2010 een goedkeurende verklaring afgegeven. Deze verklaring heeft een geldigheidsduur van vijf jaar. Het College bescherming persoonsgegevens (Cbp) gaf aan dat hoewel «toestemming» wellicht een juridische grondslag kan zijn voor de gegevensverwerking, zowel de banken als de wetgever goed moeten nadenken of het analyseren en gebruiken van big data in deze sector wel op toestemming gebaseerd zou moeten kunnen worden, gezien de afhankelijkheid van de burger van de bancaire diensten.
Paragraaf 5.4 van de Gedragscode verwerking persoonsgegevens financiële instellingen bevat regels over verwerking van persoonsgegevens in het kader van marketingactiviteiten. Daarin wordt onder andere bepaald dat het een financiële instelling is toegestaan, persoonsgegevens in betaalopdrachten te gebruiken om financiële producten van de groep waartoe de financiële instelling behoort, onder de aandacht van de cliënt te brengen, tenzij de cliënt om stopzetting van dergelijke attenderingen heeft verzocht. Deze voorwaarde is bij de levering van diensten of producten overigens heel gebruikelijk.
Gesteld kan worden dat het voorbeeld van het onder de aandacht brengen bij een klant van de kinderspaarrekening een marketingactiviteit voor een eigen financieel product van de bank betreft en uit dien hoofde is toegestaan. De andere voorbeelden hebben gemeen dat het daarbij gaat om het onder de aandacht brengen van producten van andere marktpartijen. Voor dergelijke activiteiten lijkt de (huidige) Gedragscode geen expliciete rechtvaardiging te bevatten. Daarmee is niet gezegd dat de verwerking van de persoonsgegevens voor deze vorm van marketing categorisch is uitgesloten; ik verwijs hiervoor naar het antwoord op vraag 2.
Consumenten zijn sterk afhankelijk van banken. De Minister van Financiën staat voor een goed functionerende integere bankensector, een sector die dienstbaar is aan de Nederlandse economie en waar de klant centraal staat. Deze uitgangspunten gelden voor alle soorten Nederlandse banken. De commerciële activiteiten van de banken dienen deze uitgangspunten niet te ondermijnen. Het is echter de vraag in hoeverre de plannen van ING in het belang van de klant zijn en in hoeverre de bank de rechtmatige verwerking (waaronder de veiligheid) van de klantgegevens kan waarborgen. Of dit het geval is, zullen de banken die volledig op de hoogte zijn van de omvang en aard van de activiteiten zelf moeten aantonen. Voor banken die ook verzekeraar zijn geldt hetzelfde.
Voor elektriciteitsbedrijven is dit niet anders. Netbeheerders mogen op basis van de Elektriciteitswet 1998 hun klantendata niet voor andere doeleinden gebruiken dan voor het uitvoeren van hun wettelijk opgedragen taak. Daarnaast geldt dat netbeheerders en ook bedrijven die elektriciteit leveren gebonden zijn aan de Wet bescherming persoonsgegevens. Hierdoor mogen klantendata (bijvoorbeeld de meterstanden van een huishouden) niet verder worden verspreid dan voor het doel waarvoor ze zijn verzameld en er mag dus geen geld aan worden verdiend zonder expliciete toestemming van de betrokkene. De toestemming dient aan de in het antwoord bij vraag 2 beschreven eisen te voldoen.
De plannen van Equens brachten indertijd ook veel maatschappelijke onrust met zich mee. Equens heeft aangegeven om deze reden alleen verdere stappen te nemen in het geval dat alsnog een breed maatschappelijk draagvlak tot stand komt. Equens benadrukt een dergelijk breed maatschappelijk draagvlak niet meer te constateren. Equens heeft momenteel dan ook geen enkel plan of voornemen om verdere stappen te zetten op dit terrein. De reacties op het recente ING initiatief onderstrepen dat er vooralsnog geen (breed) maatschappelijk draagvlak is voor dergelijke plannen. Privacy is een groot goed, het is daarom verstandig van ING om pas op de plaats te maken en in gesprek met klanten, toezichthouders, privacy-organisaties en consumentenorganisaties te bepalen of en hoe ING verder wil gaan.
Of en in hoeverre met profileringstechnieken ook conclusies kunnen worden getrokken over personen wier persoonsgegevens niet worden gebruikt, valt in zijn algemeenheid niet te zeggen. Dat is afhankelijk van de manier waarop de profielen worden samengesteld en toegepast op klanten.
Betaalgegevens kunnen mede betrekking hebben op bijzondere persoonsgegevens. Denk bijvoorbeeld aan lidmaatschapsgelden voor een kerk, politieke partij of een vakbond, medische kosten en geldboetes. In artikel 23a Wbp is bepaald dat het verbod om deze persoonsgegevens te verwerken niet van toepassing is voor zover dit geschiedt met uitdrukkelijke toestemming van de betrokkene.
Zoals hierboven in het antwoord op vraag 2 al is aangegeven zal sprake moeten zijn van «informed consent». Verder moet de toestemming vrij gegeven worden.
Volgens de memorie van toelichting op de Wbp kan bijvoorbeeld niet van een rechtsgeldige toestemming worden gesproken als de betrokkene onder druk van de omstandigheden waarin hij verkeert tot toestemming is overgegaan.5
Of het vereiste van vrije toestemming geschonden wordt, zal afhangen van de omstandigheden. Factoren die hierbij een rol kunnen spelen zijn bijvoorbeeld de hoogte van de korting, de financiële positie van de cliënt, de moeite die het kost om van bank te veranderen en het aantal banken dat een korting biedt tegenover het commercieel gebruik van persoonsgegevens. Hierbij dient in aanmerking te worden genomen dat betaaldiensten van een bank essentieel zijn om in de huidige maatschappij te kunnen functioneren. Een opt-out lijkt in dit verband moeilijk voorstelbaar.
Mij is niet bekend of ING voornemens is een zienswijze aan het Cbp te vragen. Het Cbp kan op verzoek van een bedrijf een zienswijze uitbrengen over maatschappelijke en technologische ontwikkelingen, indien deze ontwikkelingen leiden tot nieuwe rechtsvragen (http://www.cbpweb.nl/Pages/ind_publ_zienswijzen.aspx ).
Het Cbp kan bij overtreding van de Wbp in alle gevallen een last onder dwangsom opleggen waarbij de verantwoordelijke wordt opgedragen de overtreding te beëindigen en de gevolgen ervan ongedaan te maken. Ter uitvoering van het Regeerakkoord is een wijziging van de Wbp in voorbereiding waarin de bevoegdheid van het Cbp om overtredingen met een bestuurlijke boete te sanctioneren wordt uitgebreid. Deze wijziging zal de Kamer naar verwachting voor de zomer bereiken.
Hoofdstuk 5 van de Wbp geeft uitwerking aan het transparantiebeginsel; de ING dient de klant op grond van artikel 33 Wbp vóór aanvang van het verwerken van zijn persoonsgegevens te informeren over de doeleinden van de verwerking. Indien de bank al bestaande betaalgegevens voor een nieuw, commercieel doeleinde wil verwerken, zal de bank zich niet alleen moeten bezinnen op een rechtvaardigingsgrond als bedoeld in artikel 8 van de Wbp, maar ook op het daaraan voorafgaand helder en volledig informeren van de klanten.
Hierbij bericht ik u, mede namens de Minister van Financiën, dat de schriftelijke vragen van de leden Schouw en Verhoeven (beiden D66) over het bericht dat ING betalingsgegevens van klanten te gelde wil maken (ingezonden 12 maart 2014) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie ontvangen is. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.