Hoe veilig zijn klantgegevens bij de bank, verzekeraar en andere leveranciers? | AFM: “Gebruik klantgegevens moet veilig en in het belang van de klant zijn”

In deze digitale tijd is voor iedereen die zijn persoons- of bedrijfsgegevens afgeeft aan dienstverleners en leveranciers de vraag of die gegevens wel veilig zijn bij die wederpartij (hierna ook ‘leverancier’). Het gaat dan niet alleen over persoonsgegevens (naam, adres, woonplaats) of de relaties (de inhoud van het adresboek, de relaties in social media), maar ook over transactiegegevens: wat wordt er gekocht, welke artikelen worden gelezen, welke handelingen worden verricht, enzovoorts. Ik noem dit ‘klantgegevens’.
Dit geldt zowel voor particulieren (“natuurlijke personen”) als voor bedrijven.

De verstrekte gegevens komen in de digitale omgeving van de leverancier terecht en dan is de vraag of die gegevens daar blijven, dan wel (bewust of onbewust) worden doorgegeven aan lieden die bezig zijn om profielen samen te stellen, bedrijven zoals YD, dat een tik op de vingers kreeg van het College bescherming persoonsgegevens (CBP). Het is echter niet alleen profilering wat aandacht verdient. Er zijn meer ‘nieuwsgierigen’ die belangstelling hebben voor dingen waar zij niets mee te maken hebben, zoals bijvoorbeeld criminelen.

Banken en verzekeraars

Juist banken en verzekeraars beschikken over een schat aan gegevens over hun klanten, zowel persoonsgegevens als transactiegegevens. Dergelijke gegevens zijn commercieel interessant voor derden. Recent kwamen ING Bank en Equens (een dienstverlener die voor de banken werkt) in het nieuws omdat zij transactiegegevens wilden gaan ‘delen’ met commerciële partijen.

De Autoriteit Financiële Markten (AFM) schrijft in een nieuwsbericht van vandaag het navolgende:

Gebruik klantgegevens moet veilig en in het belang van de klant zijn
21-05-2014

Banken en verzekeraars moeten zich afvragen of het gebruik van klantgegevens in het belang van de klant is. Ook moeten zij zich afvragen of zij de veiligheid van de klantgegevens kunnen waarborgen. Dat zei AFM-bestuurder Theodor Kockelkoren woensdag in de Tweede Kamer tijdens het Rondetafelgesprek ‘gebruik klantgegevens door banken’. De AFM volgt deze ontwikkeling op de voet, omdat er belangrijke raakvlakken zijn met het klantbelang, en met het vertrouwen van de consument in de financiële sector.

Het gebruik van klantgegevens door banken ligt gevoelig bij klanten. De AFM heeft daarom in maart een oproep gedaan aan alle banken om met de maatschappij in gesprek te gaan over het commercieel gebruik van gegevens van klanten. De banken hebben deze oproep inmiddels opgepakt.

“De grootste uitdaging voor de financiële sector de komende jaren is het opbouwen van een cultuur van veiligheid en eerlijkheid”, zo stelde Kockelkoren. “Klanten willen hun bank en verzekeraar eerlijk zien handelen, ook met hun persoonlijke gegevens. De risico’s en kansen die samenhangen met het commercieel gebruik van klantgegevens zijn sterk afhankelijk van de wijze waarop de klantgegevens worden gebruikt”.

Het is volgens de AFM-bestuurder primair aan de banken en verzekeraars om potentiële risico’s van het gebruik van klantgegevens per situatie goed in kaart te brengen en daarover open en eerlijk te communiceren met hun klanten. De toezichthouder zal alert zijn op mogelijke ongelijke behandeling van klanten. Kockelkoren: “Het gebruik van klant gegevens zou er bijvoorbeeld toe kunnen leiden dat iemand een hogere premie voor een verzekering moet betalen wanneer de financiële instelling ziet dat hij veel uitgeeft aan ongezonde of financieel onverantwoorde dingen. Maar andersom kun je je ook afvragen of het geen discriminatie is wanneer een ander juist korting krijgt vanwege een volgens de financiële instelling verantwoorde levensstijl.”

Het ligt voor de hand dat banken en verzekeraars dit soort plannen eerst met klanten bespreken voordat zij die vaststellen. Uiteraard moeten zij klanten om toestemming vragen voor het gebruik van de gegevens.

“Banken en verzekeraars moeten hierbij te allen tijde het belang van de klant centraal stellen. Zij moeten bovendien na gaan wat de verwachtingen van hun klanten zijn bij het gebruik van dergelijke gegevens.” Kockelkoren stelde dat banken en verzekeraars daarnaast moeten overwegen hun klanten ook zelf te laten beschikken over de eigen klantgegevens. Hiermee wordt het voor klanten gemakkelijker om zich bij verschillende financiële dienstverleners te laten adviseren over financiële producten, bijvoorbeeld doordat zij een reeds gemaakte inventarisatie kunnen meenemen naar een andere dienstverlener en zo bij verschillende financiële dienstverleners producten kunnen aanschaffen.

Naar aanleiding van vragen van Kamer leden gaf Kockelkoren aan dat binnen financiële ondernemingen geen scherp onderscheid bestaat tussen advies en product. De toezichthouder is alert op de manier waarop de klantgegevens gebruikt worden, bijvoorbeeld met het oog op advies of met het oog op het ontwikkelen van een nieuw product. Mogelijk kan ook de algemene zorgplicht hier in de toekomst een rol spelen.

Eventuele nieuwe organisaties die de Nederlandse betaalmarkt betreden, zoals bijvoorbeeld Google en Facebook, moeten zich uiteraard ook aan de Nederlandse regelgeving houden, benadrukte Kockelkoren.

Banken en verzekeraars staan onder toezicht van de AFM en moeten aan allerlei regels voldoen. Naar verwachting zal het nog wel even duren voordat de gegevens van hun klanten “op straat” komen te liggen.

Andere leveranciers

Voor andere leveranciers is er veel meer vrijheid en is de vraag hoe veilig de klantgegevens bij de bedrijven zijn.

Veel ondernemingen vertellen in hun algemene voorwaarden dat zij alle informatie die zij verwerven verkopen aan derden. Voorbeelden daarvan zijn Facebook en LinkedIn. Over de LinkedIn voorwaarden schreef ik al eens. Ook andere bedrijven (zoals de app makers voor smartphones en tablets) doen dit. Zo schrijft iOS7 app TuneIn (radio) in de algemene voorwaarden dat alle gebruiksgegevens van de app per account worden bewaard. Als de gebruiker geen account heeft aangemaakt worden gegevens bewaard op basis van het kenmerk van het gebruikte apparaat. Zo doen vele andere leveranciers het ook en het is dan altijd “take it or leave it”.

Bedrijven bieden hun diensten aan op een wijze dat de gebruiker zijn identiteit bekend moet maken (iets wat in de fysieke wereld vaak niet nodig is). Dat gebeurt bijvoorbeeld doordat de gebruiker via een creditcard of via iDeal moet betalen. Het gevolg daarvan is dat de identiteit bekend is en de persoon geprofileerd kan worden. De oplossing is dat ook prepaid kaarten worden geaccepteerd. Die mogelijkheid is er vaak niet. Zo denk ik dat een bedrijf als Blendle welbewust geen prepaid betalingsmogelijkheid biedt, zodat het makkelijker is om de gebruikers te profileren en deze gegevens commercieel uit te baten.

Onder de huidige regelgeving zijn burgers en ondernemers vogelvrij als het om hun persoons- en transactiegegevens gaat, tenzij het gereguleerde ondernemingen als banken betreft. Ik meen dat het nodig is dat er wetgeving komt die het mogelijk maakt om als burger/ondernemer grip te krijgen op de gegevens die aan leveranciers worden verstrekt en die de leverancier verkrijgt door het gebruik van het product. Gedacht kan onder meer aan het volgende:

  • De leverancier dient bekend te maken welke klantgegevens hij op welke momenten registreert en aan wie hij die gegevens afgeeft. Voorbeeld: een navigatie app dient te melden of de complete navigatiegegevens worden doorgestuurd naar de leverancier.
  • Bij kleine transacties moet de mogelijkheid worden geboden met prepaid kaarten te betalen zodat geen persoons- of betalingsgegevens hoeven te worden verstrekt.
  • Degenen die persoons- en transactiegegevens onder zich hebben verplicht zijn om te zorgen voor voldoende security- en privacy-maatregelen, met verplichte audit. Als er ‘inbraken’ zijn geweest, dient dat aan de betrokken klanten te worden gemeld.
  • Kwaliteitssystemen op het gebied van het zorgvuldig omgaan met klantgegevens, met certificering en audit, dienen door de overheid te worden gefaciliteerd.

 

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Capelle aan den IJssel (Rotterdam), telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.wordpress.com/ ||| modernisering ondernemingsrecht: http://flexbv.wordpress.com/
Dit bericht werd geplaatst in Financieel recht, onder meer Wft, Wtt, ICT, privacy, e-commerce en getagged met , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s