ING gaat haar klanten gepersonaliseerde reclame sturen op basis van hun betaalgegevens. Zo zal de bank bijvoorbeeld klanten met een groot bedrag op hun betaalrekening bellen over de gewenste bestemming hiervan. Hiervoor analyseert de ING Bank o.a. waar een klant betaalt, aan wie hij betaalt, en van wie hij geld ontvangt.
Het is niet ongebruikelijk dat een organisatie meer probeert te verdienen aan de gegevens die zij nodig heeft om haar dienst te verlenen. Denk bijvoorbeeld aan de tennisbond die afgelopen jaar de contactgegevens van leden verkocht aan sponsors en de Rabobank die eveneens aangeeft betaalgegevens te kunnen gebruiken voor gepersonaliseerde marketing. De ING kondigde in 2014 aan betaalgegevens te zullen gebruiken voor gepersonaliseerde reclame voor derden. Deze plannen werden uiteindelijk teruggedraaid na sceptische reacties van het Autoriteit Financiële Markten (AFM) en het Centraal Planbureau (CBP). Nu probeert de ING het nog een keer, zij het beperkt tot reclame voor haar eigen diensten. De vraag is of deze beperktere versie onder de (inmiddels verscherpte) privacywetgeving wel kan.
Duidelijk is dat klanten geen toestemming hebben gegeven voor het gebruik van betaalgegevens voor gepersonaliseerde marketing (financial microtargeting). Toestemming onder de Algemene Verordening Gegevensbescherming (AVG) vereist immers een “verklaring of een ondubbelzinnige actieve handeling”. Klanten eenzijdig informeren dat de privacy policy is vernieuwd om nieuwe verwerkingen mogelijk te maken, voldoet niet aan deze eis.
Dit is niet noodzakelijkerwijs problematisch. De ING stelt correct dat zij persoonsgegevens ook kan verwerken als zij een gerechtvaardigd belang heeft. Inderdaad noemt de AVG direct marketing expliciet als een voorbeeld van een gerechtvaardigd belang.
ING’s keuze voor gerechtvaardigd belang beperkt wel de vrijheid die zij heeft om gepersonaliseerde reclame in te zetten. Zo zou de ING met toestemming kunnen ontsnappen aan het verbod op het verwerken van bijzondere persoonsgegevens in artikel 9 AVG, of het verbod op geautomatiseerde besluitvorming met aanmerkelijke effecten in artikel 22 AVG. Tenzij de ING gebruik kan maken van andere uitzonderingsgronden, zal de bank een beperktere vorm van gepersonaliseerde reclame moeten gebruiken die buiten deze verboden valt. Dit betekent bijvoorbeeld dat ING geen gezondheidsgegevens kan verwerken om gepersonaliseerde reclame te maken voor zorgverzekeringen, of reclame voor leningen met hoge rentes kan toespitsen op mensen met schulden. (1)
Ook zou de ING met toestemming van haar klanten niet hoeven te beargumenteren dat een verwerking voor gepersonaliseerde reclame verenigbaar is met het doel waarvoor gegevens origineel zijn verzameld, namelijk het goed functioneren van de betaalrekening. Dit beargumenteren zal lastig zijn, gezien de aard van de relatie tussen ING en haar klanten, het feit dat het moeilijk kan zijn om van bank te wisselen en het gebrek aan een verband tussen het functioneren van een bankrekening en het maken van gepersonaliseerde reclame.
De ING kan dit obstakel mogelijk omzeilen door gegevens (opnieuw) te verzamelen op basis van een gerechtvaardigd belang voor directe marketing. Aangezien de ING, zoals blijkt uit haar eerdere privacy statements, al jaren betaalgegevens verwerkt voor marketingdoeleinden, is het mogelijk dat de bank al een database heeft van recentere betaalgegevens die verzameld zijn op basis van een gerechtvaardigd belang voor marketing. Dit leidt echter tot de fundamentelere vraag: kan gepersonaliseerde marketing op basis van betaalgegevens überhaupt worden gebaseerd op een gerechtvaardigd belang?
Hiervoor is het is niet voldoende dat de ING een legitiem belang aandraagt. Daarnaast moet de verwerking noodzakelijk zijn voor dit doel en de juiste balans slaan met de belangen en rechten van anderen. De ING heeft een aantal maatregelen genomen die een dergelijke balans waarschijnlijker maken. Zo deelt de bank persoonsgegevens niet met anderen en gebruikt het de gegevens enkel om haar eigen diensten aan te bieden. Dit sluit al een aantal gevoelige scenario’s uit. Het is bijvoorbeeld niet mogelijk dat politieke partijen reclame richten aan individuen die contributie betalen aan een andere partij.
Dit betekent uiteraard niet dat er een balans is tussen het belang van de ING en dat van de klant. De klant draagt immers al bij aan het bedrijfsbelang van ING door te betalen voor de rekening. Voor veel andere banken is het hiernaast verwerken van betaalgegevens niet noodzakelijk voor gepersonaliseerde marketing. ASN bank stelt in haar privacy statement bijvoorbeeld met name te kijken of een klant al bepaalde producten bij de bank afneemt en welke pagina’s hij bezoekt. Overigens is het ook zeer de vraag of gebruik van alle af- en bijschrijvingen voldoet aan het dataminimalisatie beginsel.
Naast de vraag wat de meerwaarde van het gebruik van de betaalgegevens is voor de ING, speelt het feit dat af- en bijschrijvingen gevoelige gegevens zijn. Hieruit kan bijvoorbeeld worden afgeleid waar iemand werkt, wat zijn hobby’s zijn, of hij in de schulden zit en zelfs of hij in de bar staat. Bovendien kunnen deze gegevens gebruikt worden om individuen te beïnvloeden wanneer zij op het punt staan bijzonder belangrijke beslissingen te nemen. Zo geeft de ING zelf aan zich te willen richten op individuen die waarschijnlijk een hypotheek willen afsluiten.
De AP noemt het dan ook “niet waarschijnlijk” dat verwerking van financiële gegevens voor directe marketing onder een gerechtvaardigd belang geplaatst kan worden. (2) Het lijkt mij, gelet op de bovenstaande punten onwaarschijnlijk dat dit voor de ING anders is.
(1) https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612053
(2) https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internet-telefoon-tv-en-post/direct-marketing#kan-ik-een-beroep-doen-op-de-grondslag-van-gerechtvaardigd-belang-voor-direct-marketing-per-post-6835
Dit artikel is ook te vinden in het dossier AVG en e-Privacy