ING gaat persoonlijke aanbiedingen doen op basis van bij- en afschrijvingen, en ik weet niet waarom dat mag

ING gaat klanten ‘persoonlijke aanbiedingen’ doen op basis van hun bij- en afschrijvingen, las ik bij Tweakers. Het gaat om aanbiedingen van ING zelf, dus niet van externe partijen, en klanten kunnen zich er voor afmelden. Dat mag, zegt de bank: “Volgens de AVG moet er een wettelijke grondslag zijn voor het gebruik van persoonsgegevens. Gerechtvaardigd belang is ook een wettelijke grondslag die gebruikt kan worden voor direct marketing.” Maar is daarmee de privacyrechtelijke kous af, gezien de boosheid en het onbegrip van veel klanten dat hier niet met opt-in oftewel toestemming wordt gewerkt?

Het is veel mensen een doorn in het oog, maar het klopt juridisch dat je zonder toestemming oftewel opt-in mensen reclame onder de neus kunt duwen. De enige situatie waarin dat niet kan, is bij e-mailreclame: de Telecommunicatiewet eist gewoon altijd opt-in oftewel toestemming (behalve bij mailings aan klanten, daar is het dan weer opt-out). Maar wat ING hier doet, is geen e-mailreclame voor zover ik kan zien, dus niks met de Telecomwet te maken.

De AVG kent naast toestemming (opt-in) nog vijf redenen om iemands persoonsgegevens te mogen verwerken – juridische taal voor onder meer “iemand langs elektronische weg een reclameboodschap vertonen die op hem toegespitst is”. De door ING ingeroepen reden is het eigen gerechtvaardigd belang, wat vereist dat je een eigen belang aandraagt dat legitiem is en een belangenafweging (al dan niet met invoering van privacybeschermende maatregelen) maakt waarom jouw belang wint van de privacy van je klanten of andere betrokkenen.

Direct marketing staat letterlijk in de AVG genoemd als een voorbeeld van een eigen belang. Daarmee is het dus in principe mogelijk om direct marketing zonder toestemming te doen, mits je de belangenafweging met privacy rond krijgt. En daar zit hem natuurlijk de kneep, want wat zijn je argumenten dan? Enkel “wij hebben zin in marketing dus dat gaan we doen” voelt wat mager, maar ik kan niet ontkennen dat marketing als deel van de vrijheid van ondernemen (een grondrecht) aan te merken is. Net zoals journalistiek of kunst ook mag zonder toestemming.

Het zal dus neerkomen op de privacy-afweging. Hoe ernstig is het gebruik van de gegevens, en hoe belangrijk is het marketingbelang in deze context? Daar heb ik in dit geval wel een mening over. Want we hebben het hier niet over zomaar wat gegevens van willekeurige personen, maar over toch behoorlijk privé aanvoelende gegevens, namelijk je financiële handel en wandel. Niet voor niets is het eigenlijk altijd een datalek als je financiële informatie kwijt raakt over iemand. Daar marketing op bedrijven is dan wel behoorlijk invasief.

En ja, dan is het leuk dat je een opt-out biedt en dat het alleen eigen producten zijn. Dat zijn argumenten om de belangenafweging naar je voordeel toe te trekken. Want eigen producten zijn minder erg dan verkoop aan derden, en een opt-out is zeg maar de best practice bij direct marketing op basis van eigen belang. Maar die maatregelen kun je bij iedere vorm van marketing met alle mogelijke gegevens inzetten, en daarom vind ik ze niet sterk. Verder lees ik geen echt inhoudelijke argumenten (“70% van onze klanten geeft in een trial aan deze reclame waardevol te vinden”, kijk dat was nou eens een bevinding geweest) en daarom concludeer ik dus eigenlijk meteen al dat dat helemaal niet mag.

Daarnaast kun je nog andere stevige bezwaren aan laten rukken: die financiële gegevens zijn verstrekt voor het doel van de bancaire dienstverlening, en marketing van andere producten heeft volgens mij niets te maken met de eigenlijke dienstverlening. Kun je dan wel spreken van doelbinding, alleen hergebruiken voor verwante doelen? De AVG (artikel 6.4) is nogal strikt bij hergebruik voor andere doeleinden, en eist onder meer dat je expliciet rekening houdt met het verband tussen origineel en nieuw doel, de aard van de gegevens en de relatie tussen betrokkene en bank. Ook vanuit die hoek zie ik niet hoe je het argument rondkrijgt dat je gewoon marketingboodschappen mag gaan genereren. (Oh, en je schijnt ook nog iets te moeten met privacy by default van de AVG: waarom zou je deze optie net net zo goed standaard uit kunnen zetten.)

Alles bij elkaar kan ik me dus niet voorstellen dat dit overeind blijft. De AP heeft al gemeld dit te gaan onderzoeken.

Arnoud

28 reacties

  1. Wederom, voor mij als juridische leek, zeer interessant om te lezen. Maar buiten het juridische om ligt hier volgens mij ook gewoon een taak voor de consument: Laat je voeten spreken en stap over naar een bank die hier niet in mee gaat. Als iedereen die met deze praktijk problemen heeft dat doet lost het probleem zich veel sneller op dan via de juridische weg.

    1. Dat is leuk bedacht, maar wat als je aan zo’n bank vast zit dmv een (hypothecaire) lening? Je sluit niet zomaar even een lening over bij een andere bank – ik vraag me af of dit wel zo makkelijk haalbaar is als jij doet voorkomen.

      1. Jezelf vastzetten door een vendor lockin is nooit slim, maar daar heb je niets aan indien je al een -aan een ING-rekening gekoppelde- hypotheek hebt. In dat geval is een opt-out de optie.

        Ook zou je kunnen onderzoeken of dit een dusdanige aanpassing van de algemene voorwaarden is dat je gewoon aangeeft bij de bank ermee te willen stoppen. Ben benieuwd wat ze dan antwoorden.

        En, als laaste, ben ik erg benieuwd naar welke bank alle (potentiele) overstappers dan willen gaan. Zelf heb ik recent een (gratis) rekening geopend bij N26, maar ik ben er nog niet over uit of dat een blijvertje is.

    2. Overstappen… Heb ik jaren terug een keer gedaan. Toen in verband met het sluiten van filialen. Waar onder mijn lokale filiaal. Ik over van ABN naar VSB. Toch wel boel gedoe nog. Jammer dat VSB niet veel later ook filialen (inclusief mijn lokale) begon te sluiten. En vervolgens overgenomen werd door ABN…

  2. Hey je gaat op reis -> reisverzekering Hey je koopt een huis -> huisverzekering Hey je koopt een soa testkit -> ziektekosten/uitvaartverzekering????

    Wat ik wel apart vindt is dat je bij de ING divisie Banking een rekening hebt en dat je dan reclame krijgt voor producten uit de verzekering divisie. Dus als ze straks een divisie ING icecream hebben dan krijg je daar ook reclame voor? Zaken doen met een van de deeltjes van ING = blanket opt-in voor alles delen met alles van ING (wereldwijd?)?

  3. Volgens de website van de ACM is het ‘spamverbod’ breder dan alleen e-mailcommunicatie. Het gaat om elektronische communicatie. Het ‘direct marketen’ (woorden ING) binnen Mijn ING en de ING app, lijkt dan onder de spamregelgeving te vallen. Eventueel kunnen ze zich nog op een uitzondering beroepen, maar dat betwijfel ik.

  4. Ik heb sowieso nooit begrepen waarom mensen bij een bank zitten waar je geen rente krijgt maar “rente punten” (ok, de laatste jaren maakt dat niet zoveel meer uit) en waar ze geen elf-proef op hun rekeningnummers hanteren.

  5. De opt-out (of soft opt-in) in de Telecomwet is niet alleen van toepassing op e-mails. Het gaat om elektronische berichten in het algemeen, waarover de ACM ook expliciet aangeeft dat dit niet enkel e-mails zijn. Ook berichten die bijvoorbeeld binnenkomen op een mobiele telefoon zoals sms’jes, mms’jes, appjes vallen onder deze (anti-spam) bepalingen. Maar aan de randvoorwaarden van deze soft opt-in mogelijkheid wordt volgens mij niet voldaan. En ze geven zelf aan het te baseren op een ‘gerechtvaardigd belang’.

    Opmerkelijk omdat ze daarmee de verwerking van gegevens niet lijken te legitimeren o.b.v. hergebruik voor een verenigbaar doel (waarvoor geen aparte nieuwe grondslag nodig zou zijn) maar ze introduceren een geheel nieuwe verwerking introduceren. En die baseren ze dan blijkbaar op de grondslag ‘gerechtvaardigd belang’.

    Daarvoor gelden een aantal criteria en de eerste die me opvalt is dat er sprake moet zijn van een noodzakelijkheid. Alleen al het feit dat je dit weer uit kunt zetten, lijkt het te reduceren tot een kwestie van wenselijkheid.

    Tweede opvallende punt, dat weinig aandacht krijgt, is dat er rechtvaardiging mede afhangt van de redelijke verwachting van betrokkene. En daar gaat het natuurlijk mank. Mensen verwachten dit natuurlijk niet en worden zelfs boos. Het druist ook helemaal in tegen de bedoeling om betrokkene zelf meer controle te geven over zijn gegevens. Logisch dat dit sentiment met zich meebrengt en dat brengt me bij de verplichting dat een verwerking ook altijd nog behoorlijk moet zijn. Er zal ook een morele afweging moeten zijn. En niet vergeten moet worden dat hiermee niet alleen de privacy van de ING-klanten in het geding is. De impact is groter.

    En transparantie is hier ook wel een ‘dingetje’. Over het daadwerkelijke belang, waarover betrokken moeten worden geïnformeerd, komt ING vooralsnog niet verder dan een algemeen marketingbelang. Afgaand op de online uitingen en reacties. Maar een (sterk) bedrijfsbelang is natuurlijk niet hetzelfde als een ‘gerechtvaardigd’ belang.

    Een interessante case om te volgen.

  6. Naast AVG argumenten is er ook een Bankierseed die de betrokken medewerkers van ING hebben afgelegd, en hierin staat toch heel duidelijk “dat ik in die afweging het belang van de klant centraal zal stellen;”. Ik kan dit echt niet rijmen met opt-out.

    1. Probleem is hierbij dat het bankierstuchtrecht op personen is gericht. In dit geval weet je niet welke welke medewerkers zich niet aan de wet hebben gehouden. (En kennelijk blijven in het tuchtrecht bestuurders buiten schot. Leuk hè?)

  7. Moreel is dit een makkelijke afweging. Ik ben al enkele jaren overgestapt naar een andere bank.

    Juridisch vind ik het interessant om te zien dat ze dit eerder hebben geprobeerd, waarbij de gegevens naar een derde partij gingen. Nu blijven de gegevens binnen de ING. Het argument van de ING is dat het dan wel mag. Mijn vraag: is dit een criterium binnen de AVG? Of is het criterium alleen de afweging dat gegevens voor “gerelateerde doeleinden” worden gebruikt? En hoe zit dat dan met bijvoorbeeld WhatsApp. Mag Facebook die gegevens dan wel of niet gebruiken voor andere doeleindes, zoals gerichte reclame? Idem voor Google foto’s, mag Google die informatie gebruiken voor Google ads? Bij de ING voelt het niet goed, maar dit is schering en inslag bij andere IT dienstverleners. Mag dat?

    1. “Nu blijven de gegevens binnen de ING. Het argument van de ING is dat het dan wel mag. Mijn vraag: is dit een criterium binnen de AVG?”

      Het is niet zo dat een organisatie carte blanche heeft om persoonsgegevens naar eigen goeddunken te verwerken omdat het daarbinnen blijft. Dat is larie en in die zin is dat dus geen criterium. Het is wel zo dat het delen van persoonsgegevens met anderen de privacyimpact verzwaart en dat daarvoor afhankelijk van de situatie aanvullende criteria gelden.

  8. Ik ben cloudleverancier. Ik kan bij alle data van al mijn klanten, voor zover zij dat zelf niet encrypten. Mag ik in die data gaan rondstruinen om te kijken welke van mijn diensten nog meer interessant zijn?

      1. Hoe is de data van mijn klanten anders dan de data van de klanten van ING? Wat mij betreft is de omschrijving, begunstigde en verzender van een betaling data die toevallig meekomt met een betaling. Mijn data, niet die van ING.

        1. ING is wél verwerkingsverantwoordelijke, jij bent verwerker en verwerkt informatie in opdracht van een verwerkingsverantwoordelijke. Je kan niet zelf een ander doel bepalen, dat mag alleen de verwerkingsverantwoordelijke doen.

          1. Die vind ik discutabel. ING haalt informatie voor de eigen advertenties niet uit de naam en rekening van hun klant zelf, maar uit de bij de tegenrekening van een derde partij behorende naam en zoekt daar de passende commerciële branche bij. Er wordt dus wel degelijk data verwerkt van derden die niet noodzakelijk klant van ING zelf zijn.

            1. Dit betekent volgens mij dan ook dat ING mijn data gebruikt buiten het doel waarvoor ze een verwerkingsovereenkomst hebben (tw het registreren van mijn saldo-mutaties, het beheren van mijn (girale) geld en het transfereren van geld van mijn naar een andere rekening of vice-versa) (simpel gezegd – ik ben geen jurist)

              Veel banken (ik ben geen ING klant, dus weet niet precies hoe zij hier mee omgaan) hebben ook als stelregel dat ze geen controles uitvoeren op de bron en/of het doel van de mutatie – als de naam en het rekeningnummer niet bij elkaar horen dan is dat niet het probleem van de bank. De elfproef (niet in gebruik bij ING?) zou hier voldoende veiligheid moeten borgen.

              Als je dit doorvoert naar de verwerkingovereenkomst dan lijkt mij dit logisch, want omdat die controle wel uit te kunnen voeren zouden ze meer gegevens moeten verwerken dan overeengekomen (zoals Jeroen terecht opmerkt, niet iedereen is klant van de ING)

              Vanuit dat oogpunt kan ik niet zien hoe het opzoeken van een branche bij mijn betalingen dan wel binnen diezelfde verwerkingsovereenkomst past.

              Overigens doen veel banken wel al soortgelijke ‘verwerkingen’ – Bunq toont bijvoorbeeld in de app bij de betaling ook het logo van het bedrijf waar ik met PIN een betaling heb gedaan, dat zullen ze ook ergens moeten opzoeken dus (en daarmee verwerken ze dus informatie waarvan ik me afvraag of die voor dit doeleind gebruikt mag worden)

          2. Dan is degene aan wie ik betaal, of die mij betaald, dus de verantwoordelijke voor mijn gegevens? En die heeft van mij geen toestemming deze te delen voor andere zaken dan de verwerking van de transactie = doel van de verwerking. Ergo, ING moet van die data afblijven, behalve voor de uitvoering van het doel, want voor meer KAN zijn klant geen toestemming geven.

  9. Afgezien dat het natuurlijk hele slechte communicatie is zie ik niet zoveel verschil met een hoop andere diensten.

    • Als ik bij Bol.com een boek koop krijg ik daarna ook op hun site aanbiedingen voor soortgelijke boeken.
    • als ik het Rode Kruis geld geef voor een ramp in Afrika bellen ze mij daarna ook of ik geld voor Syrië wil doneren.
    • mijn internet provider stuurt mij ook reclame of ik geen TV abonnement wil hebben.
    • mijn energie leverancier doet mij een persoonlijk aanbod voor zonnepanelen.

    Hoe verschillen al deze diensten van een bank die op basis van de informatie die ze heeft haar klant een aanbieding van haar eigen producten doet ?

    Wat zie ik hier over het hoofd ?

    1. Wat je over het hoofd ziet, is dat bankgegevens veel persoonlijker en veel intiemer dan een bestelling van een bepaald product. Je betalingen aan verzekeringen, aan zorginstellingen, aan abonnementen, schulden, vakanties, eigenlijk staat je hele priveleven in de etalage. Dat je bij andere instanties een klein inkijkje geeft van je interesses en dat je voortaan wordt achtervolgd met producten is vervelend, maar lang niet zo privacy gevoelig als je bankgegevens. Als bol.com als gunst tegenover een bestelling je betaalgegevens mag inzien, dan is het gauw gebeurd met bol.com. Daarom ligt die psd2 ook zo gevoelig.

      1. Maar welke etalage dan ?

        Als de bank een stel medewerkers door mijn gegevens laat zoeken om mij een passend product aan te bieden zou ik begrijpen dat dit consequenties voor mijn privacy heeft (want die medewerkers kennen dan mijn prive details), maar ik ga er even vanuit dat ING een algoritme gebruikt dat op basis van mijn informatie mij een bepaald label geeft en dat label zorgt ervoor dat ik een aanbieding voor een hypotheek krijg.

        Als de ING derden een aanbieding zou doen snap ik de ophef ook, maar zoals ik het begrijp doen ze alleen eigen klanten een aanbieding.

        De bank heeft die data al, ik bent al klant en de enige die de aanbieding voor het nieuwe product ziet ben ik zelf ? Hoe word mijn privacy dan geschonden ?

  10. ING gaat transacties lezen. Big data verzamelen dus. Daar hangt dan automatisch aan vast dat ook de tegenrekening (met naam en toenaam veelal) wordt gelezen. En dus ook mijn gegevens als niet klant. Nu zullen ze mij niet (direct) van reclame gaan voorzien, maar ze mogen wel een verdomd goed protocol en vangnet creëren om te zorgen dat mijn gegevens niet mee worden “verzameld”.

  11. Blijft nog even de vraag wie die gegevens gaat verwerken. Een partij buiten ING of gaan ze (zeggen ze) dat ze dat zelf gaan doen? Ik vrees dat het een partij zal zijn die buiten de ING staat en ja dan kun je wachten op de al veel komende ‘oeps foutje in de data verwerking’ en lezen we binnen afzienbare tijd dat er weer een club met je gegevens aan de haal gaat.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.