AP mengt zich in discussie over financial microtargeting banken

16-07-2019

Drunen, Max van

De Autoriteit Persoonsgegevens (AP) waarschuwt de bankensector voor het gebruik van betaalgegevens voor gepersonaliseerde advertenties. Aanleiding zijn de klachten en media-aandacht die de ING opriep door haar klanten te mailen dat zij bijvoorbeeld in betaalgegevens zou kijken om een kinderspaarrekening aan te bieden aan klanten die kinderbijslag ontvangen. Al snel bleek echter dat de ABN Amro betaalgegevens al gebruikte voor gepersonaliseerde advertenties en dat ook de Rabobank van plan was zo’n systeem in te voeren. Ook de privacy policy van de ING vermeldde al enkele jaren dat betaalgegevens gebruikt zouden kunnen worden voor gepersonaliseerde marketing.

Reden onderzoek reclamepraktijk banken

Als dit al langer de praktijk is, waarom nu dan de waarschuwing? De reden hiervoor ligt waarschijnlijk in het feit dat de AVG organisaties veel privacyafwegingen in een vacuüm laat maken. De AP hoeft alleen te worden geconsulteerd wanneer een organisatie zelf inschat dat haar verwerkingen een hoog risico met zich mee brengen. Daarnaast hoeven veel verwerkingen niet actief onder de aandacht van de gebruiker te worden gebracht, maar kunnen zij simpelweg in de privacy policy worden vermeld. De media-aandacht die de mail van de ING heeft veroorzaakt, geeft aan wat de toegevoegde waarde van een actieve, duidelijke mededeling is voor gebruikers – en welk gevaar erin ligt voor bedrijven.

Reactie AP

De media-aandacht, Kamervragen en klachten die deze mail opriep, waren voor de AP reden om te reageren op het gebruik van betaalgegevens voor gepersonaliseerde advertenties door de bankensector. De AP heeft verschillende middelen om dit te doen, variërend van waarschuwingen tot onderzoeken en boetes. De AP heeft in dit geval gekozen voor een waarschuwende brief aan de bankensector, waarin zij aangeeft dat de huidige praktijk waarschijnlijk strijdig is met haar interpretatie van de AVG. Dit past in de handhavingsstijl van de AP, en is ook een middel dat met vrij lage kosten tot gedragsverandering leidt. Vaak kiezen organisaties er immers voor de interpretatie van de AP, gezien de juridische kosten en media-aandacht, niet aan te vechten.

In dit geval kunnen er wel vraagtekens worden gezet bij de gepastheid van het middel. De ING is immers al eerder teruggefloten voor een (zij het intensievere) vorm van gepersonaliseerde marketing op basis van persoonsgegevens. Het gebruik van waarschuwingen kan hiermee op een kat-en-muisspel gaan lijken, waarbij organisaties verwerkingen waarvoor zij gewaarschuwd zijn in minder intensieve vorm terugbrengen zodra de media-aandacht is weggeëbd.

Mogen banken betaalgegevens überhaupt gebruiken voor gepersonaliseerde marketing?

Resteert de vraag of banken betaalgegevens nooit mogen gebruiken voor gepersonaliseerde marketing, of dat minder ingrijpende vormen van gepersonaliseerde marketing nog wel zijn toegestaan. De AP probeert geen expliciet antwoord te geven op de vraag. Echter, de waakhond geeft wel aan dat hergebruik van betaalgegevens vaak in strijd zal zijn met het doelbindingsbeginsel. De waarschuwing herinnert eraan dat uitzonderingen op dit beginsel nauw geïnterpreteerd moeten worden. De AP focust zich hierbij op het feit dat het in de huidige samenleving vrijwel onmogelijk is om geen betaalrekening te hebben.

Ten eerste betekent dit dat een bankrekening een hoog nutskarakter heeft en dat er daarom geen sterk verband bestaat tussen het hebben van een betaalrekening en interesse in andere financiële producten. Iedereen heeft immers een betaalrekening, maar een veel kleinere groep is geïnteresseerd in een hypotheek. Het is lastig dit argument te ontkrachten, aangezien gepersonaliseerde reclame juist wordt ingezet om deze kleine groep geïnteresseerden te bereiken. Afhankelijk van de waarde die de AP hecht aan het nutskarakter van een dienst, heeft deze conclusie significante implicaties voor de mogelijkheid van het hergebruik van gegevens voor gepersonaliseerde marketing door vergelijkbare diensten.

Daarnaast wijst de AP op de privacygevoeligheid van betaalgegevens. Door afnemende populariteit van cash geeft een analyse van een betaalrekening een steeds bredere en nauwkeurigere kijk op het leven van een individu. Bovendien kan een betaalrekening naast bijzondere gegevens (zoals een betaling aan een politieke partij) ook gevoelige gegevens (zoals een transactie met een casino of seksclub) of gegevens van anderen (zoals de tegenrekening van een betaling) bevatten. Dit alles brengt een hoge expectation of privacy met zich mee.

Veel van bovenstaande factoren gelden voor elke vorm van gepersonaliseerde reclame. Banken kunnen proberen de privacy-impact van de analyse zoveel mogelijk te beperken door bijvoorbeeld alleen afschrijvingen van een bepaalde hoogte, regulariteit en/of afzender mee te nemen. Op deze manier zouden veel van de door banken genoemde voorbeelden, zoals het aanbieden van een hypotheek aan iemand die hoge huur betaalt, of kinderspaarrekeningen aan ontvangers van kinderbijslag, mogelijk blijven.

Het is twijfelachtig of dit soort waarborgen voldoende zijn voor de AP. Een minimale analyse van alle betaalgegevens blijft immers noodzakelijk om de minder gevoelige gegevens eruit te filteren voor verder gebruik. Bovendien zijn de argumenten van de AP t.a.v. het hergebruik van gegevens van diensten met een hoog nutskarakter en de restrictieve interpretatie van het doelbindingsbeginsel van toepassing op elke vorm van gepersonaliseerde marketing op basis van betaalgegevens. De AP wijst er in de waarschuwingsbrief dan ook op dat verdere verwerking van betaalgegevens voor gepersonaliseerde marketing op grond van art. 6(4) AVG waarschijnlijk in strijd is met het doelbindingsbeginsel. Dit neemt overigens niet weg dat andere vormen van direct marketing, of gepersonaliseerde marketing op basis van toestemming of nationale wetgeving, nog wel mogelijk zijn

Conclusie

Banken hebben aangegeven graag in gesprek te gaan met de AP over deze vraagstukken. Als de AP vasthoudt aan bovenstaande interpretatie is het echter lastig voor te stellen dat deze gesprekken ertoe leiden dat banken betaalgegevens kunnen hergebruiken voor gepersonaliseerde reclame. Als dit niet het geval is zullen banken genoegen moeten nemen met andere vormen van gepersonaliseerde marketing, hun klanten om toestemming moeten vragen, of de interpretatie van de AP aan moeten vechten voor de rechter. In dit laatste geval zal het interessant zijn om te zien of de interpretatie van de AP (die elk hergebruik van betaalgegevens voor gepersonaliseerde marketing op grond van art. 6(4) AVG lijkt uit te sluiten) de juiste balans slaat tussen de belangen van de bank en die van haar klanten.


Dit artikel is ook te vinden in het dossier AVG en e-Privacy

Van onze partners

Examentraining CIPM / Certified Information Privacy Manager

→ Lees meer

Masterclass Privacy: the next step

→ Lees meer

Incompanymogelijkheden

Privacyweb biedt ook de mogelijkheid om de verschillende onderwerpen als incompanyworkshop/cursus te organiseren, in samenwerking met de deskundige docenten van de Berghauser Pont Academy.
Hierbij staat de kennisbehoefte van uw medewerkers centraal. U krijgt een uniek programma toegespitst op uw wensen.
Lees meer

Wilt u snel antwoord op uw vraag?
Hanna Rab (junior uitgever) informeert u graag over de mogelijkheden. Zij is te bereiken via tel. 020 - 8200 908 en e-mail hanna@berghauserpont.nl.

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer