ING gaat persoonlijke aanbiedingen doen op basis van bij- en afschrijvingen, en ik weet niet waarom dat mag

| AE 11316 | Ondernemingsvrijheid, Privacy | 28 reacties

ING gaat klanten ‘persoonlijke aanbiedingen’ doen op basis van hun bij- en afschrijvingen, las ik bij Tweakers. Het gaat om aanbiedingen van ING zelf, dus niet van externe partijen, en klanten kunnen zich er voor afmelden. Dat mag, zegt de bank: “Volgens de AVG moet er een wettelijke grondslag zijn voor het gebruik van persoonsgegevens. Gerechtvaardigd belang is ook een wettelijke grondslag die gebruikt kan worden voor direct marketing.” Maar is daarmee de privacyrechtelijke kous af, gezien de boosheid en het onbegrip van veel klanten dat hier niet met opt-in oftewel toestemming wordt gewerkt?

Het is veel mensen een doorn in het oog, maar het klopt juridisch dat je zonder toestemming oftewel opt-in mensen reclame onder de neus kunt duwen. De enige situatie waarin dat niet kan, is bij e-mailreclame: de Telecommunicatiewet eist gewoon altijd opt-in oftewel toestemming (behalve bij mailings aan klanten, daar is het dan weer opt-out). Maar wat ING hier doet, is geen e-mailreclame voor zover ik kan zien, dus niks met de Telecomwet te maken.

De AVG kent naast toestemming (opt-in) nog vijf redenen om iemands persoonsgegevens te mogen verwerken – juridische taal voor onder meer “iemand langs elektronische weg een reclameboodschap vertonen die op hem toegespitst is”. De door ING ingeroepen reden is het eigen gerechtvaardigd belang, wat vereist dat je een eigen belang aandraagt dat legitiem is en een belangenafweging (al dan niet met invoering van privacybeschermende maatregelen) maakt waarom jouw belang wint van de privacy van je klanten of andere betrokkenen.

Direct marketing staat letterlijk in de AVG genoemd als een voorbeeld van een eigen belang. Daarmee is het dus in principe mogelijk om direct marketing zonder toestemming te doen, mits je de belangenafweging met privacy rond krijgt. En daar zit hem natuurlijk de kneep, want wat zijn je argumenten dan? Enkel “wij hebben zin in marketing dus dat gaan we doen” voelt wat mager, maar ik kan niet ontkennen dat marketing als deel van de vrijheid van ondernemen (een grondrecht) aan te merken is. Net zoals journalistiek of kunst ook mag zonder toestemming.

Het zal dus neerkomen op de privacy-afweging. Hoe ernstig is het gebruik van de gegevens, en hoe belangrijk is het marketingbelang in deze context? Daar heb ik in dit geval wel een mening over. Want we hebben het hier niet over zomaar wat gegevens van willekeurige personen, maar over toch behoorlijk privé aanvoelende gegevens, namelijk je financiële handel en wandel. Niet voor niets is het eigenlijk altijd een datalek als je financiële informatie kwijt raakt over iemand. Daar marketing op bedrijven is dan wel behoorlijk invasief.

En ja, dan is het leuk dat je een opt-out biedt en dat het alleen eigen producten zijn. Dat zijn argumenten om de belangenafweging naar je voordeel toe te trekken. Want eigen producten zijn minder erg dan verkoop aan derden, en een opt-out is zeg maar de best practice bij direct marketing op basis van eigen belang. Maar die maatregelen kun je bij iedere vorm van marketing met alle mogelijke gegevens inzetten, en daarom vind ik ze niet sterk. Verder lees ik geen echt inhoudelijke argumenten (“70% van onze klanten geeft in een trial aan deze reclame waardevol te vinden”, kijk dat was nou eens een bevinding geweest) en daarom concludeer ik dus eigenlijk meteen al dat dat helemaal niet mag.

Daarnaast kun je nog andere stevige bezwaren aan laten rukken: die financiële gegevens zijn verstrekt voor het doel van de bancaire dienstverlening, en marketing van andere producten heeft volgens mij niets te maken met de eigenlijke dienstverlening. Kun je dan wel spreken van doelbinding, alleen hergebruiken voor verwante doelen? De AVG (artikel 6.4) is nogal strikt bij hergebruik voor andere doeleinden, en eist onder meer dat je expliciet rekening houdt met het verband tussen origineel en nieuw doel, de aard van de gegevens en de relatie tussen betrokkene en bank. Ook vanuit die hoek zie ik niet hoe je het argument rondkrijgt dat je gewoon marketingboodschappen mag gaan genereren. (Oh, en je schijnt ook nog iets te moeten met privacy by default van de AVG: waarom zou je deze optie net net zo goed standaard uit kunnen zetten.)

Alles bij elkaar kan ik me dus niet voorstellen dat dit overeind blijft. De AP heeft al gemeld dit te gaan onderzoeken.

Arnoud

Wie is er aansprakelijk voor een door de browser onthouden internetbankierenwachtwoord?

| AE 10709 | Security | 24 reacties

ING onderzoekt of het mogelijk is zijn Chrome-inlogpagina weer ondersteuning te laten bieden voor het invullen van wachtwoorden met een wachtwoordmanager. Dat meldde Tweakers onlangs. De bank had dit geblokkeerd uit angst dat mensen hun browser dit laten onthouden, zodat een derde zonder veel moeite vanaf die laptop kan internetbankieren met alle gevolgen van dien. Wachtwoordmanagers zijn veiliger, maar werken met dezelfde herkentechniek voor inlogpagina’s. De maatregel gaf dan ook de nodige ophef, waaronder “maar het is toch jouw keuze of je zo onveilig bent”? Ja, maar bij bankieren zijn de regels net even anders.

Hoofdregel uit het recht is dat je aansprakelijk bent voor je eigen keuzes. Dus als jij de sleutels van je pand slordig opbergt, dan kun je dat moeilijk anderen verwijten. En specifiek bij internetdiensten is het dan ook jouw keuze en jouw risico hoe je wachtwoorden kiest, beheert en toegankelijk maakt.

Natuurlijk, wachtwoorden kunnen worden gestolen of afgekeken. Maar hoe moet een internetdienst weten dat iemands login door een ander gebeurde? Behoudens heel concrete aanwijzingen zou ik dat niet weten. En pas bij een hele grote of belangrijke dienst zou ik vinden dat die actief moeten monitoren op ongebruikelijk inloggedrag.

Specifiek bij banken ligt het iets complexer. De wet zegt namelijk dat een bank altijd aansprakelijk is voor beveiligingsincidenten, behalve bij fraude, opzet en grove nalatigheid van de klant (art. 7:529 BW). Bij gewone slordigheid of onoplettendheid van de internetbankierende consument draait de bank dus op voor ongeautoriseerde transacties, met hooguit een eigen risico van 150 euro voor die consument. Per ongeluk of uit gemakzucht kiezen voor het onthouden van je inlogwachtwoord voor bankieren lijkt mij een gevalletje slordigheid en géén grove nalatigheid.

Dit risico komt ook weer terug in de Uniforme Veiligheidsregels van de banksector, die expliciet over beveiligingscodes vermelden:

Schrijf of sla de codes niet op. Of, als het echt niet anders kan, alleen in een voor anderen onherkenbare vorm die alleen door uzelf is te ontcijferen. Bewaar in dit geval de versleutelde informatie niet bij uw bankpas of bij apparatuur waarmee u uw bankzaken regelt;

Ik kan dit niet anders lezen dan dat je je browser geen wachtwoorden mag laten opslaan, maar dat je ook geen wachtwoordmanager mag gebruiken. Die “apparatuur” is immers je laptop of telefoon, en de wachtwoordmanager slaat daar het wachtwoord bij op. Dus wat dat betreft is ING wel consistent.

Tegelijk: een wachtwoordmanager en dan een stevig master password is gewoon de beste manier om jezelf te beveiligen bij online diensten. Dus dit voelt als een best wel fundamenteel dilemma.

Arnoud