Open banking als alibi voor datagraaien | PSD2

Banken willen graag hetzelfde domein betreden als de huidige datagraaiende internetgiganten, zoals Facebook en Google.
Dat is na te lezen in een promotieverhaal door een – aan de naam te zien Spaanse – bankier in NYT van 3 juni jl.: “We should extend EU bank data sharing to all sectors. Open Banking rules are a model for a broader digital solution“. De auteur roept daarin enthousiast dat persoonsgegevens nog ruimer over de aardbol verspreid moeten worden en uitgebuit door bedrijven.

Banken zitten op goud, als het om persoonsgegevens (en bedrijfsgegevens) gaat, de Noorse privacy toezichthouder schreef er in 2017 al over, dus het pleidooi van deze Spaanse bankier is goed te begrijpen. Het is niet voor niets dat de internetgiganten als betaaldienstverlener of bank actief worden.

Recent is ING in het nieuws gekomen met adtech plannen. Al eerder heeft ABN Amro ook te kennen gegeven deze kant uit te willen. Er zijn vast meer banken die kijken hoe het met ING afloopt.

Profileren van klanten door ING
Het verbaast niet dat ING zich warm draait op het gebied van klantenprofilering. Na een mislukte poging een aantal jaren geleden ontvingen de klanten van deze bank dit voorjaar plotseling in de ING-app reclame van een ‘partner’ van ING, bijvoorbeeld voor een bepaald magazine. Mogelijk was dat een pilot voor de nieuwe aanpak van deze bank die deze maand bekend werd gemaakt. De bank confronteerde klanten met reclame voor ‘eigen’ producten in de bank-app, niet als opt-in maar als opt-out. Dat levert boze reacties op, zoals deze (zie ook aan het slot de verklaring van de bank):

 

Lees over de ING-reclame, op basis van analyse van het betaalgedrag (profilering) meer bij Radar, die uitlegt hoe klanten opt-out kunnen aanzetten.

 

Naar aanleiding van het Radar bericht laat de Autoriteit Persoonsgegevens (AP) op twitter weten dat onderzoek zal worden ingesteld, waarbij de AP verwijst naar de door de AP bekend gemaakte informatie over direct marketing:

Bericht AP op twitter

In de media is het nodige over het nieuwe ING-beleid geschreven, onder meer door NU.nl, de NOS en NRC (mogelijk betaalmuur).

Kamervragen over ING
Intussen zijn in de Tweede Kamer over de handelswijze van de bank vragen gesteld. Op 11 juni jl. stuurde het ministerie van financiën een brief aan de Tweede Kamer, waarin de de Minister van Financiën zijn enthousiasme uitspreekt over het commerciële gebruik van persoonsgegevens, “een ontwikkeling die kansen kan bieden voor nieuwe innovatieve producten en diensten“. Dat is een twijfelachtige uitspraak.

Gelukkig erkent de Minister dat ook banken zich aan de privacywet, de Algemene Verordening Gegevensbescherming (AVG), moeten houden en dat het ter beoordeling is van de Autoriteit Persoonsgegevens is of de handelswijze van ING rechtmatig is:

Uw Kamer heeft mij op 5 juni jl. verzocht om een brief naar aanleiding van de berichten in de media over het voornemen van ING om klantgegevens te gebruiken voor reclamedoeleinden.

Ik heb over genoemd onderwerp informatie ingewonnen bij ING. ING geeft aan dat op 3 juni 2019 het Privacy Statement van ING Nederland is uitgebreid met voorbeelden van de wijze waarop ING gegevens van bij- en afschrijvingen op rekeningen van klanten kan gebruiken voor het aanbieden van ING producten en diensten. Deze uitbreiding is volgens ING een verduidelijking van het Privacy Statement, waardoor meer transparantie wordt geboden aan klanten over het gebruik van deze gegevens en over de wijze waarop hiertegen bezwaar kan worden gemaakt. Volgens ING vindt het genoemde gebruik van klantgegevens niet plaats in het kader van een rekeninginformatiedienst in de zin van PSD2.

Als een klant gebruik maakt van producten en diensten van een bank beschikt de bank over persoonsgegevens van die klant. Op het verwerken (waaronder gebruik) van persoonsgegevens is sinds 25 mei 2018 de Algemene verordening gegevensbescherming (AVG) en de daarop gebaseerde uitvoeringsregelgeving van toepassing. Gelet hierop is ook bij de Nederlandse toezichthouder op deze regelgeving, de Autoriteit Persoonsgegevens (AP) informatie ingewonnen naar aanleiding van de berichtgeving. De AP heeft aangegeven dat de desbetreffende wijziging van het Privacy Statement door ING bij de AP vragen heeft opgeroepen. Naar aanleiding hiervan heeft de AP aan ING, op basis van de in de AVG opgenomen verantwoordingsplicht, gevraagd om op korte termijn een onderbouwing van de rechtmatigheid van de voorgenomen gegevensverwerking aan te leveren.

Er is een meer algemene trend dat het commerciële belang van persoonsgegevens toeneemt. Gebruik van klantgegevens voor commerciële doelen is een ontwikkeling die kansen kan bieden voor nieuwe innovatieve producten en diensten. Daarbij moet voorop staan dat de bescherming van persoonsgegevens – en daarmee de zorg voor klanten en samenleving – goed gewaarborgd is. Daarvoor biedt de AVG het algemene juridische kader, waaraan ook banken zich moeten houden. Het is aan de AP als toezichthouder om te oordelen over de rechtmatigheid van het voorgenomen gebruik van klantgegevens in individuele gevallen, zoals nu door ING.

 

Met deze beantwoording was een lid van de Tweede Kamer niet tevreden. Hij stelde op 12 juni jl. meteen vervolgvragen:

1 Bent u bekend met het bericht dat ING betaalgegevens wil gaan gebruiken voor persoonlijke reclame? 1) Wat is ING precies van plan?

2 In hoeverre is de werkwijze van ING in overeenstemming met privacywetgeving en gedragscodes? Kunt u daarbij, in aanvulling op uw brief van 11 juni 2019 2), een specifiek inhoudelijke analyse bieden ten aanzien van de Algemene Verordening Gegevensbescherming (AVG) en de Europese richtlijn voor betaaldiensten (PSD2)?

3 Wat vindt u van de afweging die ING heeft gemaakt met betrekking tot haar eigenbelang en het klantenbelang?

4 Deelt u de mening dat betaalgegevens in handen van banken zijn vanuit de nutsfunctie van het betalingsverkeer, en dat daarmee deze gegevens niet voor marketingdoeleinden gebruikt zouden moeten worden?

5 Waarom heeft de Autoriteit Persoonsgegevens hierover vragen gesteld en wat houden die vragen in?

6 Vindt u dat banken de betaalgegevens van klanten moeten kunnen gebruiken voor advertentiedoeleinden, ook als de klantgegevens niet bij derden terechtkomen? Deelt u de mening dat dit onwenselijk is, ook als dit op basis van bestaande wetgeving toegestaan is?

7 Wat vindt u ervan dat ING dit gebruik van gegevens als standaardinstelling hanteert (opt-out), in plaats van klanten zelf actief te laten aangeven dat hun gegevens voor marketingdoeleinden mogen worden gebruikt (opt-in)? Deelt u de mening dat privacy standaard zou moeten zijn met betrekking tot betalingsgegevens? Bent u bereid om privacy als standaardinstelling vast te leggen voor betaalgegevens?

8 Acht u deze stap van ING behulpzaam bij het herstel van het vertrouwen in de bankensector?

1) https://www.nrc.nl/nieuws/2019/06/06/ing-gebruikt-betaalgegevens-voor-persoonlijke-reclame-a3962816
2) Reactie op verzoek commissie inzake het NOS-artikel ‘ING leest af- en bijschrijvingen om eigen reclame te maken’ (2019Z11756)

 

De publieke rol van banken | een nieuwe overheidsbank?
Dit onderwerp raakt aan de maatschappelijke functie die banken hebben. Begin dit jaar is door de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) over dat onderwerp een rapport gepubliceerd met de titel “Geld en schuld: De publieke rol van banken”. Het rapport gaat vooral over geldschepping. De WRR adviseert het kabinet te zorgen voor een stevigere verankering van de publieke dimensie van het bankwezen. Het zou niet verkeerd zijn als daarin ook databescherming en privacy zouden worden mee genomen.

Opvallend is dat naar aanleiding van het rapport wordt gesproken voor alternatieven voor betalen en sparen. Zie de kabinetsreactie op het WRR-rapport. Daarin komt onder het kopje “Alternatieven voor betalen en sparen, incl. de SP-initiatiefnota” aan de orde dat de overheid bankrekeningen zou kunnen aanbieden:

De WRR constateert dat er op het gebied van geld weinig opties zijn buiten het commerciële bankwezen. De WRR pleit in het rapport daarom voor het creëren van een bank die zich alleen bezighoudt met betalen en sparen in een risicoarme omgeving. De heer Alkaya (SP) doet in zijn initiatiefnota ‘100% veilig sparen en betalen’ een vergelijkbaar voorstel. Hij stelt in de nota onder andere voor dat iedere Nederlander een publieke bankrekening ontvangt waarop spaargeld risicovrij kan worden gestald en waarmee burgers kosteloos toegang krijgen tot een publieke betalingsinfrastructuur.

Het kabinet kan zich vinden in de analyse van de WRR en het idee van het lid Alkaya dat een bank die zich enkel bezighoudt met betalen en sparen, kan bijdragen aan meer diversiteit in de sector en aan meer keuzemogelijkheden voor consumenten. Het kabinet is van mening dat dergelijke partijen binnen de geldende juridische kaders gefaciliteerd dienen te worden, zoals de WRR aanbeveelt. Er zijn verschillende manieren waarop private partijen dit vorm kunnen geven. Het kabinet ziet onvoldoende redenen om zelf een dergelijke bank op te richten. Het huidige systeem biedt aan burgers de mogelijkheid om geld publiek verankerd veilig te stallen via het depositogarantiestelsel. Ook is de borging van publieke belangen de afgelopen jaren versterkt door onder meer strengere eisen aan buffers, waardoor burgers beter beschermd worden tegen private verliezen. Het CPB komt in haar ‘Risicorapportage Financiële Markten 2019’ eveneens tot de conclusie dat een depositobank in het huidige systeem weinig kan toevoegen. Tot slot is het publieke belang van de continuïteit en stabiliteit van het Nederlandse betalingsverkeer goed verankerd, onder meer door de toezichthouders en via het Maatschappelijk Overleg Betalingsverkeer (MOB). In de Agenda financiële sector wordt beschreven welke aanvullende maatregelen het kabinet neemt om de stabiliteit en integriteit van het systeem verder te versterken, waaronder het blijven inzetten op hogere buffers, het vervolmaken van de Europese bankenunie en het aansporen van banken tot het doen van voldoende investeringen in de poortwachtersrol om te voorkomen dat het stelsel gebruikt wordt voor witwassen.

Een ander alternatief dat de WRR oppert, en dat ook raakt aan het idee van het lid Alkaya, is de introductie van digitaal centralebankgeld. Dit stelt burgers en bedrijven in staat om te betalen met een digitale vorm van contant geld die direct overdraagbaar is (middels een ‘token’) of via een rekening bij de centrale bank. Op dit moment hebben burgers en bedrijven alleen toegang tot centralebankgeld in de vorm van contant geld. Mede door het sterk afgenomen gebruik van contant geld is er in toenemende mate belangstelling voor digitaal centralebankgeld. Digitaal centralebankgeld zou tevens kunnen fungeren als achtervang voor het private betalingsverkeer, bijvoorbeeld bij een storing of een cyberaanval.

Het kabinet is het met de WRR eens dat digitaal centralebankgeld nader onderzoek verdient. Hierbij gaat de aandacht van het kabinet in het bijzonder uit naar een maatschappelijke kosten- en batenanalyse, alsmede een analyse naar de behoefte hieraan vanuit de samenleving. Het kabinet hecht eraan dat daarbij ook oog is voor de maatschappelijke functie die contant geld vervult in het licht van het afnemende gebruik hiervan. Het kabinet heeft het belang van onderzoek bij DNB onder de aandacht gebracht. DNB heeft in reactie hierop aangegeven onderzoek te doen naar digitaal centralebankgeld. Het kabinet kijkt uit naar de uitkomsten hiervan en hoopt deze begin 2020 tegemoet te kunnen zien. Het kabinet zal verder onderzoek en/of vervolgstappen ondersteunen.

Het voordeel van een publieke bankrekeningaanbieder, is dat we dan in een klap van het adtech gebeuren af zijn.

Ik ben benieuwd. Voorlopig krijgen roofdiertjes nog alle kansen.

 

Meer informatie:

Adtech door banken, ‘open banking’:

 

WRR:

 

Eerdere berichten op dit blog over adtech door banken, onder meer:


Aanvulling 19 juni 2019
Onlangs is bekend geworden dat Facebook haar eigen cryptocurrency ontwikkelt en dat de Facebook-bank in Zwitersland wordt gevestigd.

Dat leverde ernstige kritiek van de Europese privacy toezichthouder EDPS op:

In plaatjes:

 

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/
Dit bericht werd geplaatst in Financieel recht, onder meer Wft, Wtt, Grondrechten, rechtsstaat e.d., ICT, privacy, e-commerce en getagged met , , , , , , , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s