| Ingediend | 17 mei 2018 |
|---|---|
| Beantwoord | 15 juni 2018 (na 29 dagen) |
| Indiener | Henk Nijboer (PvdA) |
| Beantwoord door | Wopke Hoekstra (minister financiën) (CDA) |
| Onderwerpen | burgerlijk recht financiën organisatie en beleid recht |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2018Z08987.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20172018-2443.html |
Ja.
Als een klant gebruik maakt van een digitaal huishoudboekje of internetbankieren van een bank dan worden daar door de bank de persoonsgegevens van de klant voor gebruikt. Op het gebruik (en andere verwerking) van persoonsgegevens is sinds 25 mei 2018 de Algemene verordening gegevensbescherming (AVG) van toepassing en de daarop gebaseerde uitvoeringsregelgeving. De AVG stelt strenge eisen aan de verwerking van persoonsgegevens, waaronder de eis dat gegevens niet voor een ander doel gebruikt mogen worden dan waarvoor de betrokkene toestemming heeft gegeven of – zoals in dit geval – nodig is voor het uitvoeren van de overeenkomst, namelijk die voor het gebruik van het digitale huishoudboekje of internetbankieren. In beginsel is op grond van de AVG geen aparte toestemming nodig van de klant voor het gebruik van klantgegevens voor direct marketing door de bank zelf ten behoeve van eigen, bestaande klanten.2 De bank moet echter wel bij ieder bericht een makkelijke, gratis afmeldmogelijkheid bieden. Als de bank de gegevens van de klant ook wil gebruiken voor direct marketing in de vorm van het sturen van gepersonaliseerde advertenties van derden dan is daarvoor afzonderlijk toestemming nodig van de klant. Deze advertenties zijn alleen toegestaan als de klant deze afzonderlijke toestemming heeft gegeven en als ook aan de overige voorwaarden van de AVG wordt voldaan, zoals het voldoende beveiligen van de persoonsgegevens.
Volgens bij ABN Amro hierover ingewonnen informatie is ABN Amro voornemens om gebruikers van hun digitale huishoudboekje (Grip-app) suggesties te doen voor relevante ABN Amro producten en diensten. Daarbij kan volgens ABN Amro gedacht worden aan de suggestie om «automatisch-sparen» te activeren of om te gaan beleggen. Dit sluit volgens ABN Amro aan bij hetgeen banken nu ook al doen via andere kanalen, zoals post en e-mail. Volgens ABN Amro worden nu geen individuele klantdata met externe partijen voor het plaatsen van advertenties (wat overigens zonder toestemming van de klant niet mogelijk is) gedeeld, maar wordt wel gekeken naar ontwikkelingen op dit gebied binnen het doel van de Grip-app, te weten financieel inzicht en overzicht.
Volgens ABN Amro worden gebruikers tijdens het aanmeldproces voor de Grip-app geïnformeerd over de privacyverklaring en kan de gebruiker op elk moment aangeven dat hij geen persoonlijke suggesties van ABN Amro (meer) wil ontvangen. Het is van belang dat dit op een makkelijke en effectieve wijze wordt gedaan. De bank is verantwoordelijk voor goede informatieverstrekking richting de klant, zodat klanten daadwerkelijk de informatie tot zich nemen. De Autoriteit persoonsgegevens (AP) ziet toe op de naleving van de informatieverplichtingen uit de AVG en kan bij niet-naleving daarvan hoge boetes opleggen.
Digitale huishoudboekjes kunnen een nuttig doel dienen als het gaat om het verschaffen van beter inzicht in- en overzicht van de financiële huishouding van zowel consumenten als bedrijven. Online diensten voor een digitaal huishoudboekje, waarbij een of meer betaalrekeningen van de gebruiker bij een of meer andere betaaldienstverleners betrokken zijn worden in de herziene richtlijn betaaldiensten (PSD2) gereguleerd en aangemerkt als betaaldiensten, te weten rekeninginformatiediensten. Vanaf de inwerkingtreding van de wetgeving ter implementatie van PSD2 is voor het verlenen van rekeninginformatiediensten een vergunning nodig van De Nederlandsche Bank (DNB). Banken kunnen deze diensten verlenen op basis van hun bankvergunning. Ook na inwerkingtreding van de implementatiewetgeving hebben banken geen aparte vergunning nodig voor het verlenen van rekeninginformatiediensten. Er gelden voorwaarden voor het gebruik van klantgegevens, afkomstig van digitale huishoudboekjes of internetbankieren, voor commerciële doelen. Zo moet de gebruiker goed geïnformeerd worden over de doelen waarvoor zijn gegevens worden gebruikt, moet hij hiervoor vrijelijk toestemming hebben gegeven, moet hij deze toestemming eenvoudig kunnen intrekken en moet ook overigens aan alle voorwaarden van de AVG worden voldaan. Het is daarbij van essentieel belang dat klanten ook daadwerkelijk begrijpen waar zij precies toestemming voor geven. Het uitgangspunt van «surprise minimalisation» is hierbij van belang. Klanten mogen niet worden verrast door gebruik van hun gegevens voor commerciële doelen. Ik verwijs in dit verband naar de Europese werkgroep van toezichthouders op gegevensbescherming die een document heeft uitgebracht met richtlijnen waaraan het geven en intrekken van toestemming moet voldoen.3
Ik begrijp en deel de zorgen over het gebruik van persoonlijke bankgegevens van klanten voor commerciële doelen, zoals advertenties. Met deze gegevens moet zeer zorgvuldig worden omgegaan. Ik deel echter niet de mening dat dergelijk gebruik van persoonsgegevens op voorhand altijd onwenselijk is. Gebruik van persoonlijke bankgegevens voor commerciële doelen kan ook voordelen bieden voor de klant. Daarbij kan gedacht worden aan op de klant toegesneden aanbiedingen voor producten of diensten. Voor de voorwaarden die hiervoor gelden verwijs ik naar het antwoord op vragen 2 en 5.
Gezien de redenen die ik reeds uiteen heb gezet in mijn brief van 9 februari 20185 zie ik geen aanleiding het voorstel voor een dergelijk verbod over te nemen.
Ik deel de indruk dat banken zich de afgelopen jaren meer zijn gaan richten op het gebruik van persoonsgegevens van hun klanten voor commerciële doelen. Banken verschillen hierin niet van veel andere bedrijven in andere sectoren, die gebruik maken van de toegenomen digitalisering van producten en diensten. Dit volgt een, naar mijn indruk, meer algemene trend dat het commerciële belang van persoonsgegevens toeneemt. Gebruik van klantgegevens voor commerciële doelen is een ontwikkeling die ook veel kansen biedt voor nieuwe innovatieve producten en diensten, ook voor banken en klanten. Daarbij moet voorop staan dat de bescherming van persoonsgegevens – en daarmee de zorg voor klanten en samenleving – goed gewaarborgd is. Daarvoor biedt de AVG het algemene juridische kader, waaraan ook banken zich moeten houden. Doen zij dat niet, dan kan de AP, die toeziet op de naleving van de AVG, hoge boetes opleggen.
Vertrouwen in de sector is essentieel. Er zijn verschillende positieve signalen, zowel vanuit de sector als door regelgeving. Tegelijkertijd is er nog een lange weg te gaan. De sector heeft weliswaar serieuze stappen gezet in het kader van cultuurverandering en het herwinnen van vertrouwen, onder meer met de introductie van de bankierseed of -belofte, maar het is evident dat er nog veel moet gebeuren. Het is primair de verantwoordelijkheid van de sector zelf om hiermee aan de slag te gaan. De gewenste cultuur en vertrouwen kunnen niet met regelgeving alleen bevorderd worden. Integendeel, een gezonde cultuur moet juist komen vanuit de sector zelf.