Een lezer vroeg me:
In het artikel Tanktoerisme in België neemt toe, maar Nederlanders niet massaal de grens over lees ik dat ABN Amro het transactieverkeer van klanten in de grensstreek (en verder schijnbaar) analyseert om te kijken hoe vaak mensen over de grens tanken en hoe vaak in Nederland. Hoe kan de bank onder de AVG en haar geheimhoudingsplicht rechtvaardigen dat zij deze analyses doet?Wie in de privacyverklaring van de ABN Amro bank duikt, zal met enig lezen een uitzondering vinden voor macro-economisch onderzoek zoals wat hier speelt:
Het Economisch Bureau van ABN AMRO doet onafhankelijk statistisch onderzoek op basis van geaggregeerde data naar o.a. macro-economische trends zoals groei van de Nederlandse industrie, consumptief gedrag of economische impact op klimaatverandering. Het Economisch Bureau van ABN AMRO werkt soms samen met universiteiten voor het doen van wetenschappelijk onderzoek.Dit staat onder het kopje “Gerechtvaardigd belang van de bank of van anderen”, wat erop wijst dat de bank dit onder artikel 6 lid 1 sub f AVG rechtvaardigt. Bij inroepen van die grondslag is geen aparte toestemming nodig, dus het is logisch dat die ook niet is gevraagd.
Bij hergebruik voor wetenschappelijke of statistische doeleinden moet je (artikel 89 AVG) wel de nodige waarborgen geven, zoals gegevensminimalisatie. In de praktijk komt dat neer op “maak ze zo snel mogelijk écht anoniem, het liefst door te aggregeren naar groepjes van 10 of meer mensen”. Het onderliggende rapport van dat Economisch Bureau geeft expliciet dat aan: “bekijken wij met behulp van geanonimiseerde en geaggregeerde transactiedata de brandstof-uitgaven van huishoudens in de grensregio.”
Mijn reconstructie is dus: eerst werd een grens getrokken van wat “grensregio” is. Alle transacties van rekeninghouders wonend in die regio worden gefilterd op de categorie ‘brandstof’. Daarbij is gegroepeerd op wegafstand van de grens, zo te lezen per 5 kilometer. Daarbij kun je eigenlijk direct de identificerende gegevens zoals naam of IBAN weggooien, en dan kan daarna van profileren of iets dergelijks geen sprake meer zijn. Die reconstructie lijkt mij volledig in lijn met de AVG.
Arnoud
Beste Arnoud,
Niet helemaal juist. Art. 89 is voldoende. Het gaat immers om hergebruik van al bestaande gegevens dus je hoeft helemaal niet naar 6(1) te kijken. Dus je hoeft je helemaal niet te beroepen op het gerechtvaardigd belang :). En uit 6(4) aanhef volgt al dat je dan inderdaad geen toestemming hoeft te vragen. Laten we het niet moelijker maken dan het is. Ook ABN haalt nu 6(1) en 6(4) door elkaar. 6(1) is wel geschikt als het gaat om de eerste verzameling van gegevens, maar niet als het gaat om hergebruik van gegevens.
Dit veronderstelt wel dat je analyse voldoet aan “wetenschappelijk of historisch onderzoek of statistische doeleinden”. Enkel het maken van statistiek is misschien wat mager, want dat doe je ook voor commerciële doeleinden. De recente EDPB Guidelines over wetenschappelijk onderzoek (1/2026) suggereren dat deze termen beperkt worden uitgelegd. Dus ik snap wel dat een bank dan niet voor verenigbaar hergebruik gaat maar een aparte grondslag introduceert.
Dus wanneer een verdere verwerking voor een ander doel de toets van art 6 lid 4 AVG niet doorstaat (en de grondslag van de verzameling dus niet ‘hergebruikt’ mag worden), dan kan art 6 lid 1 sub f AVG nog steeds uitkomst bieden, ondanks dat het gaat om een verdere verwerking?
Het is dan een nieuwe verwerking met eigen grondslag. En ja, dat kan.
En wederom bewijst een bank dat ik niet gek ben dat ik elke maand als mijn salaris gestort is ik een cash bedrag pin waar ik de rest van de maand mijn boodschappen en benzine van betaal.
Lazer op met je onderzoek, je bent een bank en en je bewaart mijn geld voor me en als ik het wil uitgeven geef je me mijn geld. Voor de overheid houdt je lekker in de gaten of ik niet onverklaarbaar contant geld stort ivm witwassen en of ik niet geld over maak naar foute partijen ivm financiering terrorisme … en voor de rest gaat niemand ene r**t aan wat ik met mijn geld doe.
Die redenering zou kloppen als je op een eiland leeft en niets van wat jij doet effect kan hebben op anderen. Maar dat is niet zo in een klein, overvol, land met 18+ miljoen inwoners. Het is dus helemaal niet vreemd dat de systeembanken op basis van geaggregeerde data naar economische trends kijken. Die trens zijn belangrijk om onder meer overheidsbeleid op te baseren.
Dat is waar, maar het zou de bank sieren als ze hun klanten om toestemming hadden gevraagd. Er is, voor zover ik weet, zelfs geen mogelijkheid om bezwaar te maken tegen je betaalinformatie laten gebruiken voor dit soort toepassingen. Het is dus niet eens opt-out, het is “forced-in”. Ik begrijp uit het antwoord van Arnoud dat ze volgens de wet die toestemming niet hoeven vragen, en dus hebben ze dat ook niet gedaan, maar ik zou dat wel fatsoenlijk en moreel vinden.
Maar ja..grote banken en “fatsoenlijk en moreel” gedrag klinkt als een soort Monty Python sketch.
Dat is er wel. Artikel 21 AVG.
Woonplaats is alleen van belang als je wilt weten hoeveel kilometer mensen ervoor willen rijden. Transactieplaats is het belangrijkste, en dat lijkt me geen persoonlijke data, als de persoonsgegevens van de rekeninghouder tenminste weggepoetst zijn.
Heel veel data uit allerlei systemen wordt verzameld door CBS: lonen, uitkeringen, energieverbruik, spaargeld ze verzamelen het en gebruiken het zodat iedereen zijn eigen inzichten kan maken. Terug te vinden op Statline als je zelf dingen wil weten over nederland. CBS anonimiseert de data en zet ze daarna online. De AVG regels worden daar strikt in acht genomen. Als de bank die regels ook in acht neemt is het toch juist mooi dat we weten hoeveel het Nederlandse beleid kost aan misgelopen belasting?
Ik zie liever dat de banken dit soort data anonimiseren en aan CBS aanleveren die de analyse doet, als dat we commerciele partijen allerlei mogelijkheden geven om ons gedrag te analyseren.
Welke commerciële partijen bedoel je?
Alle commerciele partijen waar je in hedendaagse maatschappij niet omheen kan wat mij betreft.
Je kan niet zonder een bank, want die heb je in Nederland nodig om een salaris te ontvangen, maar ook verschillende partijen die je moet betalen accepteren al jaren geen cash meer.
Met alle inlog/2-factor vereisten – mede bij banken maar ook voor het werk – kunnen veel mensen (bijna iedereen) ook niet meer zonder smartphone.
Internetproviders ook nog zo’n partij waar veel mensen niet zonder kunnen.
Omdat je praktisch geen keuze hebt om van deze partijen gebruik te maken zouden deze partijen strict aan banden gelegd moeten worden wat ze met je informatie moeten doen, namelijk alleen dat wat aantoonbaar nodig is voor het uitvoeren van de dienstverlening.
Ik snap dat het heel interessant kan zijn om meer onderzoek te doen, maar omdat je niet kan kiezen om de informatie niet aan deze partijen te verstrekken zouden deze partijen ook niet het onderzoek moeten doen, maar geannonimiseerde informatie aan een partij als CBS daarvoor moeten verschaffen als het voor onze economie/land belangrijk.
Dan moet er toch ook een manier te vinden zijn om verkeersstromen te analyseren, denk ik dan. Ik geloof dat het de laatste keer was afgeketst óf omdat het mogelijk zou zijn dat iemand via de database een persoon volgt, of omdat er technisch gezien één microseconde een kenteken werd verwerkt (voordat het wordt omgezet naar een hash). Maar als de ABN dit anoniem kan (en dat geloof ik best) moet dit toch ook wel kunnen?
“kan” is het verkeerde woord hier.