| Ingediend | 12 juni 2019 |
|---|---|
| Beantwoord | 9 juli 2019 (na 27 dagen) |
| Indiener | Henk Nijboer (PvdA) |
| Beantwoord door | Wopke Hoekstra (minister financiën) (CDA) |
| Onderwerpen | economie overige economische sectoren recht staatsrecht |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2019Z11931.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20182019-3393.html |
Ja, ik ben bekend met het bericht. Ik heb van ING vernomen dat zij op maandag 3 juni haar privacy statement heeft aangepast. Hierbij is opgenomen dat ING informatie over bij- en afschrijvingen gaat gebruiken om eigen producten aan te bieden. ING geeft aan dat klanten die dit niet willen, gebruik kunnen maken van hun recht op bezwaar en zich hiervoor kunnen afmelden.
Op het gebruik van gegevens in de relatie tussen bank en klant is de AVG van toepassing. De Autoriteit Persoonsgegevens (AP) is de bevoegde toezichthouder ten aanzien van de AVG. Het is dan ook niet aan mij, maar in eerste instantie aan de AP (en uiteindelijk eventueel de rechter) om te bepalen of de werkwijze van ING in overeenstemming is met de privacywetgeving. De AP heeft ING gevraagd om een toelichting op de rechtmatigheid van de gegevensverwerking (zie antwoord op vraag 5). De AP heeft op 3 juli 2019 een brief aan de Nederlandse Vereniging van Banken over het gebruiken van transactiegegevens voor direct-marketing gepubliceerd.3 In deze brief licht de AP de kaders voor deze vorm van gegevensdeling toe. Voor een inhoudelijke analyse verwijs ik naar deze brief. Als banken zich uiteindelijk niet houden aan de kaders van wet- en regelgeving kan de AP handhavend optreden.
Zoals ik in mijn eerdere Kamerbrief over dit onderwerp heb aangegeven heeft deze casus geen betrekking op de herziene betaaldienstenrichtlijn (PSD2). PSD2 stelt regels voor het verlenen van toegang tot betaalgegevens aan derde partijen en voor bepaalde activiteiten, indien de klant hier uitdrukkelijk toestemming voor geeft. In deze zaak gaat het niet om verstrekking van gegevens aan derde partijen.
Alle gegevensverwerking moet rechtmatig geschieden. Klanten kunnen voordeel hebben van gepersonaliseerde reclame, doordat zij bijvoorbeeld aanbiedingen krijgen die afgestemd zijn op hun eigen behoefte. Het verwerken van gegevens voor deze doeleinden moet echter wel op eerlijke, transparante en proportionele wijze gebeuren, op een manier die toegestaan is door de geldende regels voor gegevensverwerking. De AP houdt hier als bevoegde toezichthouder toezicht op. In de eerdergenoemde brief van de AP aan de banken zijn de kaders toegelicht waar banken zich aan moeten houden bij een dergelijke gegevensverwerking.
Zie antwoord vraag 3.
De AP heeft aangegeven dat de desbetreffende wijziging van het privacystatement door ING bij haar vragen heeft opgeroepen. Naar aanleiding hiervan heeft de AP op basis van de in de AVG opgenomen verantwoordingsplicht aan ING gevraagd om op korte termijn een onderbouwing van de rechtmatigheid van de voorgenomen gegevensverwerking aan te leveren. De exacte vragen die de AP heeft gesteld zijn mij niet bekend, aangezien dit toezichtvertrouwelijke informatie is.
Zie antwoord vraag 3.
De AP is de bevoegde toezichthouder ten aanzien van gegevensverwerking van persoonsgegevens. In de eerdergenoemde brief van de AP aan de banken zijn de kaders toegelicht waar banken zich aan moeten houden bij een dergelijke gegevensverwerking.
Zie antwoord vraag 3.