Aanhangsel van de Handelingen
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2013-2014 | 1658 |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2013-2014 | 1658 |
Heeft u kennisgenomen van het bericht «ING geeft adverteerder inzicht in klantgedrag»?1
Kunt u reageren op de daaropvolgende duidingen en negatieve reacties, zoals van de Consumentenbond?2
De Consumentenbond heeft er met name moeite mee dat de bank klantgegevens zou gebruiken voor een ander doel dan waarvoor ze verstrekt zijn; dit lijkt niet in lijn met de Gedragscode verwerking persoonsgegevens financiële instellingen waaraan ook ING is gebonden. De Gedragscode bepaalt onder meer dat persoonsgegevens van cliënten in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt en dat zij niet verder worden verwerkt op een wijze die «onverenigbaar» is met de doeleinden waarvoor ze zijn verkregen. De Gedragscode vult nader in welke mogelijkheden de bank heeft om verkregen persoonsgegevens voor een ander doeleinde te gebruiken dan de uitvoering van de overeenkomst. De Gedragscode bevat geen bepalingen over het gebruik van de persoonsgegevens voor andere doeleinden in de vorm van verstrekkingen aan derde partijen.
Dit betekent niet dat het gebruik van de persoonsgegevens voor andere doeleinden daarmee categorisch is uitgesloten. De Wet bescherming persoonsgegevens (Wbp) opent in elk geval de mogelijkheid om een rechtvaardiging daarvoor te zoeken in toestemming van de klant (artikel 8a). Die toestemming zal wel aan specifieke eisen moeten voldoen. In artikel 1 aanhef en onder i Wbp is namelijk bepaald dat onder toestemming van een betrokkene wordt verstaan: «elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt». Hierbij is onder andere van belang dat niet van een rechtsgeldige toestemming kan worden gesproken als de betrokkene onder druk van omstandigheden waarin hij verkeert of de relatie waarin hij staat tot de verantwoordelijke tot toestemming is overgegaan. Als tweede voorwaarde geldt dat de wilsuiting van de betrokkene betrekking moet hebben op een bepaalde gegevensverwerking of een beperkte categorie van gegevensverwerkingen. Duidelijk moet zijn welke verwerking, van welke gegevens, voor welk doel zal plaatsvinden, en als het daarbij gaat om een verstrekking aan derden, ook aan welke derden. Dit betekent dat een zeer brede en onbepaalde machtiging niet als toestemming kan worden aangemerkt. Als derde voorwaarde geldt «informed consent»: de betrokkene kan slechts verantwoord toestemming geven wanneer hij zo goed mogelijk is ingelicht.3
In artikel 9 lid 1 van de Wbp is bepaald dat persoonsgegevens niet verder worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. Volgens het tweede lid van genoemd artikel wordt bij de beoordeling of een verwerking onverenigbaar is met het doel waarvoor de gegevens zijn verkregen onder andere rekening gehouden met de verwantschap tussen oorspronkelijk en beoogd doel, aard van de gegevens, consequenties voor de betrokkene en de wijze waarop de gegevens zijn verkregen.
In de onderhavige context moet bij die beoordeling verder worden betrokken het vertrouwen van de cliënt in de bank dat wordt geboden door de financiële regelgeving, de overeenkomst, de algemene bankvoorwaarden, de Wbp en de Gedragscode.
De Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB) zijn kritisch over de plannen van ING. Een onzorgvuldige aanpak en slechte communicatie kan het vertrouwen van de consument in de bancaire sector schaden. Wij delen deze kritische reacties. De cliënt heeft een overeenkomst gesloten met zijn bank. Uit de Wbp vloeit voort dat op deze grondslag alleen persoonsgegevens mogen worden verwerkt die noodzakelijk zijn voor de uitvoering van de overeenkomst of het sluiten van die overeenkomst. De bank dient zich bij de verwerking van de gegevens overigens te houden aan de verplichtingen die zij als verantwoordelijke in de zin van de Wbp heeft voor het gebruik van persoonsgegevens door de bank. Voor andere doeleinden dan de uitvoering van de overeenkomst betreft, geldt als sectorale uitwerking van de Wbp de Gedragscode verwerking persoonsgegevens financiële instellingen. Deze Gedragscode is opgesteld door de Nederlandse Vereniging van Banken en het Verbond van Verzekeraars. Het Cbp heeft voor deze Gedragscode in april 2010 een goedkeurende verklaring afgegeven. Deze verklaring heeft een geldigheidsduur van vijf jaar. Het College bescherming persoonsgegevens (Cbp) gaf aan dat hoewel «toestemming» wellicht een juridische grondslag kan zijn voor de gegevensverwerking, zowel de banken als de wetgever goed moeten nadenken of het analyseren en gebruiken van big data in deze sector wel op toestemming gebaseerd zou moeten kunnen worden, gezien de afhankelijkheid van de burger van de bancaire diensten.
Kunt u ingaan op de juridische toelaatbaarheid van de gegeven voorbeelden in het interview, respectievelijk de kinderspaarrekening in combinatie met kinderbijslag, de goedkopere energie- of telefonieaanbieder en het tuincentrum?
Paragraaf 5.4 van de Gedragscode verwerking persoonsgegevens financiële instellingen bevat regels over verwerking van persoonsgegevens in het kader van marketingactiviteiten. Daarin wordt onder andere bepaald dat het een financiële instelling is toegestaan, persoonsgegevens in betaalopdrachten te gebruiken om financiële producten van de groep waartoe de financiële instelling behoort, onder de aandacht van de cliënt te brengen, tenzij de cliënt om stopzetting van dergelijke attenderingen heeft verzocht. Deze voorwaarde is bij de levering van diensten of producten overigens heel gebruikelijk.
Gesteld kan worden dat het voorbeeld van het onder de aandacht brengen bij een klant van de kinderspaarrekening een marketingactiviteit voor een eigen financieel product van de bank betreft en uit dien hoofde is toegestaan. De andere voorbeelden hebben gemeen dat het daarbij gaat om het onder de aandacht brengen van producten van andere marktpartijen. Voor dergelijke activiteiten lijkt de (huidige) Gedragscode geen expliciete rechtvaardiging te bevatten. Daarmee is niet gezegd dat de verwerking van de persoonsgegevens voor deze vorm van marketing categorisch is uitgesloten; ik verwijs hiervoor naar het antwoord op vraag 2.
Deelt u de mening dat banken vanwege hun belangrijke nutsfunctie geen extra geld moeten willen verdienen met hun klantendata, net zo min als elektriciteitsbedrijven dat moeten doen met hun klantendata op basis van stroomgebruik? Maakt het voor uw reactie uit dat ING ook een verzekeraar is en aankoopgedrag inzicht kan geven in risicoprofielen?
Consumenten zijn sterk afhankelijk van banken. De Minister van Financiën staat voor een goed functionerende integere bankensector, een sector die dienstbaar is aan de Nederlandse economie en waar de klant centraal staat. Deze uitgangspunten gelden voor alle soorten Nederlandse banken. De commerciële activiteiten van de banken dienen deze uitgangspunten niet te ondermijnen. Het is echter de vraag in hoeverre de plannen van ING in het belang van de klant zijn en in hoeverre de bank de rechtmatige verwerking (waaronder de veiligheid) van de klantgegevens kan waarborgen. Of dit het geval is, zullen de banken die volledig op de hoogte zijn van de omvang en aard van de activiteiten zelf moeten aantonen. Voor banken die ook verzekeraar zijn geldt hetzelfde.
Voor elektriciteitsbedrijven is dit niet anders. Netbeheerders mogen op basis van de Elektriciteitswet 1998 hun klantendata niet voor andere doeleinden gebruiken dan voor het uitvoeren van hun wettelijk opgedragen taak. Daarnaast geldt dat netbeheerders en ook bedrijven die elektriciteit leveren gebonden zijn aan de Wet bescherming persoonsgegevens. Hierdoor mogen klantendata (bijvoorbeeld de meterstanden van een huishouden) niet verder worden verspreid dan voor het doel waarvoor ze zijn verzameld en er mag dus geen geld aan worden verdiend zonder expliciete toestemming van de betrokkene. De toestemming dient aan de in het antwoord bij vraag 2 beschreven eisen te voldoen.
Kunt u dit voorstel plaatsen in het kader van uw eerdere uitspraken naar aanleiding van vergelijkbare plannen van Equens, zoals: «wij delen de zorgen van deze partijen en vinden het dan ook verstandig dat Equens het plan heeft opgeschort en heeft erkend dat het bestaan van een breed maatschappelijk draagvlak ook een belangrijke factor is»?4
De plannen van Equens brachten indertijd ook veel maatschappelijke onrust met zich mee. Equens heeft aangegeven om deze reden alleen verdere stappen te nemen in het geval dat alsnog een breed maatschappelijk draagvlak tot stand komt. Equens benadrukt een dergelijk breed maatschappelijk draagvlak niet meer te constateren. Equens heeft momenteel dan ook geen enkel plan of voornemen om verdere stappen te zetten op dit terrein. De reacties op het recente ING initiatief onderstrepen dat er vooralsnog geen (breed) maatschappelijk draagvlak is voor dergelijke plannen. Privacy is een groot goed, het is daarom verstandig van ING om pas op de plaats te maken en in gesprek met klanten, toezichthouders, privacy-organisaties en consumentenorganisaties te bepalen of en hoe ING verder wil gaan.
Speelt voor u hier ook mee dat door middel van big data toepassingen ook conclusies kunnen worden getrokken over personen die niet expliciet meedoen? Zo ja, waarom? Zo nee, waarom niet?
Of en in hoeverre met profileringstechnieken ook conclusies kunnen worden getrokken over personen wier persoonsgegevens niet worden gebruikt, valt in zijn algemeenheid niet te zeggen. Dat is afhankelijk van de manier waarop de profielen worden samengesteld en toegepast op klanten.
Deelt u de visie dat er bij dergelijke bijzondere persoonsgegevens altijd sprake moet zijn van geïnformeerde en uitdrukkelijke toestemming via opt-in? Deelt u tevens de visie dat dergelijke uitdrukkelijke toestemming nooit gegeven kan worden als er een korting op de bankkosten in het vooruitzicht wordt gesteld in ruil voor instemming? Deelt u bovendien de mening dat toestemming voor verwerking van persoonsgegevens in ieder geval nooit via opt-out gegeven kan worden?
Betaalgegevens kunnen mede betrekking hebben op bijzondere persoonsgegevens. Denk bijvoorbeeld aan lidmaatschapsgelden voor een kerk, politieke partij of een vakbond, medische kosten en geldboetes. In artikel 23a Wbp is bepaald dat het verbod om deze persoonsgegevens te verwerken niet van toepassing is voor zover dit geschiedt met uitdrukkelijke toestemming van de betrokkene.
Zoals hierboven in het antwoord op vraag 2 al is aangegeven zal sprake moeten zijn van «informed consent». Verder moet de toestemming vrij gegeven worden.
Volgens de memorie van toelichting op de Wbp kan bijvoorbeeld niet van een rechtsgeldige toestemming worden gesproken als de betrokkene onder druk van de omstandigheden waarin hij verkeert tot toestemming is overgegaan.5
Of het vereiste van vrije toestemming geschonden wordt, zal afhangen van de omstandigheden. Factoren die hierbij een rol kunnen spelen zijn bijvoorbeeld de hoogte van de korting, de financiële positie van de cliënt, de moeite die het kost om van bank te veranderen en het aantal banken dat een korting biedt tegenover het commercieel gebruik van persoonsgegevens. Hierbij dient in aanmerking te worden genomen dat betaaldiensten van een bank essentieel zijn om in de huidige maatschappij te kunnen functioneren. Een opt-out lijkt in dit verband moeilijk voorstelbaar.
Is u bekend of er al een zienswijze is gevraagd aan het College bescherming persoonsgegevens (Cbp)? Wat is de maximale boete die het Cbp kan opleggen bij het verkeerd omgaan met persoonsgegevens?
Mij is niet bekend of ING voornemens is een zienswijze aan het Cbp te vragen. Het Cbp kan op verzoek van een bedrijf een zienswijze uitbrengen over maatschappelijke en technologische ontwikkelingen, indien deze ontwikkelingen leiden tot nieuwe rechtsvragen (http://www.cbpweb.nl/Pages/ind_publ_zienswijzen.aspx ).
Het Cbp kan bij overtreding van de Wbp in alle gevallen een last onder dwangsom opleggen waarbij de verantwoordelijke wordt opgedragen de overtreding te beëindigen en de gevolgen ervan ongedaan te maken. Ter uitvoering van het Regeerakkoord is een wijziging van de Wbp in voorbereiding waarin de bevoegdheid van het Cbp om overtredingen met een bestuurlijke boete te sanctioneren wordt uitgebreid. Deze wijziging zal de Kamer naar verwachting voor de zomer bereiken.
Klopt het dat het voor het gebruiken van persoonsgegevens op grond van de Wet bescherming persoonsgegevens verplicht is dat gedurende het verzamelen bij het onderwerp bekend is met welk doel persoonsgegevens worden verzameld (doelbeginsel) en dat daarmee, zelfs als klanten toestemming geven, enkel nieuwe data gebruikt mag worden door ING?
Hoofdstuk 5 van de Wbp geeft uitwerking aan het transparantiebeginsel; de ING dient de klant op grond van artikel 33 Wbp vóór aanvang van het verwerken van zijn persoonsgegevens te informeren over de doeleinden van de verwerking. Indien de bank al bestaande betaalgegevens voor een nieuw, commercieel doeleinde wil verwerken, zal de bank zich niet alleen moeten bezinnen op een rechtvaardigingsgrond als bedoeld in artikel 8 van de Wbp, maar ook op het daaraan voorafgaand helder en volledig informeren van de klanten.
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/ah-tk-20132014-1658.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.