PRIVACY NIET LANGER GEGARANDEERD
Nieuwe voorwaarden ASN Bank in strijd met gedragscode
ASN Bank garandeert niet langer dat gegevens over je betaalgedrag binnen de bank blijven. Dat blijkt uit de algemene voorwaarden die per 1 juli aanstaande van kracht worden. De algemene voorwaarden zijn hiermee in strijd met de gedragscode voor financiële instellingen.
In de nieuwe voorwaarden* heeft ASN Bank de doelen uitgebreid waarvoor persoonsgegevens gebruikt mogen worden. Vanaf 1 juli wil de bank persoonsgegevens vastleggen om "U aanbiedingen te doen" en om deze persoonsgegevens "te delen met partners en leveranciers". Er is in deze voorwaarden niet nader gespecificeerd van wie die aanbiedingen zijn of om welke partners of leveranciers het gaat. Onder deze voorwaarden kan ASN Bank met een ander bedrijf of organisatie een partnerschap overeenkomen en uw persoonsgegevens met deze partner delen. Onder persoonsgegevens vallen onder andere uw naam en adres, maar ook uw betaalgedrag, transactiehistorie en uw surfgedrag op de website.
Gedragscode
Eerder veroorzaakten ABN AMRO en ING grote ophef toen zij aankondigden met uw betaalgedrag geld te willen verdienen. Maar deze banken houden zich nog aan de gedragscode voor financiële instellingen om de gegevens niet te delen met anderen buiten het bedrijf. Ze kunnen uw gegevens wel zelf gebruiken om voor andere partijen aanbiedingen te doen, maar de gegevens blijven binnen de (groeps)onderneming. Bij ASN Bank zijn die beperkingen niet in de voorwaarden opgenomen. De voorwaarden zijn daarmee in strijd met de gedragscode, die voor banken verplichtend is.
In een reactie laat Joyce van der Est, directeur operationele zaken van ASN Bank, weten dat de voorwaarden niet op deze manier gelezen moeten worden. Met de aanbiedingen die gedaan kunnen worden, worden producten of diensten van de bank zelf bedoeld. Ook het delen van persoonsgegevens met partners en leveranciers moet anders gelezen worden. Volgens Van der Est gebeurt het uitwisselen om bijvoorbeeld een mailing aan klanten te kunnen verzorgen. Van der Est ontkent dat de bank gegevens voor commerciële doelen aan partners wil geven. "Als ASN Bank willen wij persoonsgegevens van klanten helemaal niet aan derden daarvoor ter beschikking stellen."
Hulpbedrijf
Als het inderdaad de bedoeling is dat persoonsgegevens slechts worden uitgewisseld voor bijvoorbeeld een mailing, dan drukken de voorwaarden niet uit wat de bank bedoelt. Als een mailing het doel is waarvoor persoonsgegevens worden gebruikt, is de hulp van een ander bedrijf om dat voor elkaar te krijgen slechts een middel. Volgens de wet heet zo'n 'hulpbedrijf' dan een bewerker die in opdracht van de bank handelt. Zowel in de Wet bescherming persoonsgegevens als in de gedragscode gelden hiervoor aparte regels. Veel bedrijven verzorgen niet zelf mailings of besteden bijvoorbeeld een deel van de automatisering uit, waarmee feitelijk derden de persoonsgegevens voor de opdrachtgever beheren. De opdrachtgever blijft eindverantwoordelijk voor de bescherming van de persoonsgegevens.
Maar dat is heel iets anders dan persoonsgegevens verzamelen "om deze te delen met partners of leveranciers". Dan wordt het delen van persoonsgegevens een (commercieel) doel op zichzelf.
Groepsvoorwaarden
Wat mogelijk een betere verklaring is, is dat deze voorwaarden vanuit de groep SNS Reaal worden opgelegd. ASN Bank is hier een onderdeel van. Andere onderdelen van deze groep blijken op dit gebied vergelijkbare voorwaarden te hanteren. Als je bij één van de aangesloten onderdelen klant bent, kunnen je persoonsgegevens binnen de groep worden uitgewisseld. Het bedrijf lijkt er om die reden op aan te sturen bepaalde groepsvoorwaarden af te spreken, zodat er één lijn ontstaat voor het gebruik van persoonsgegevens.
Over twee jaar
Maar mocht er inderdaad sprake zijn van een vergissing, dan is een correctie zo gemaakt. Ook het doel "om aanbiedingen te doen" zou natuurlijk met de toelichting van de directeur eenvoudig aangepast kunnen worden in "om aanbiedingen van producten of diensten van ASN Bank te doen". Als Privacy Barometer de bank hierop wijst, laat een woordvoerder weten dat Privacy Barometer "wel een punt heeft" en dat ze onze suggesties om de algemene voorwaarden aan te scherpen "in een volgende wijzigingsronde [..] waar mogelijk mee te nemen in de besprekingen". Wanneer dat zou zijn kan de bank niet zeggen. "Het is een complex traject, dus we doen dat niet te vaak. Het kan zijn dat het pas over twee jaar is."
* Bekijk zelf de nieuwe voorwaarden (pdf). Hoofdstuk 23 gaat over persoonsgegevens.