Na opschudding bij het Nederlandse ING klonken recentelijk ook geluiden bij de Belgische bankreus BNP Paribas Fortis over de verkoop van persoonsgegevens. Verbazend is dat alleszins niet. Het past perfect in de trend waarbij het “commercialiseren van klantengegevens” een routineuze praktijk wordt. Maar was u daarvan al op de hoogte?

Vorig jaar kwam reeds aan het licht dat verscheidene Vlaamse steden en gemeenten informatie rond het verlenen van bouwvergunningen doorspeelden aan commerciële bedrijven. Bouwbedrijven kopen de gegevens op bij de verantwoordelijke administraties om gepersonaliseerde aanbiedingen en brochures te versturen. Afkeurende reacties vielen te bespeuren bij zowel de Vereniging voor Vlaamse Steden en Gemeenten (VVSG) en de Privacycommissie. “Totaal ontoelaatbaar en in strijd met de privacywet”, klonk het uit beide hoeken.

Binnen de wettelijke lijntjes?

De verwerking van persoonsgegevens wordt in België gedetailleerd geregeld door de Privacywet. Die vereist het uitdrukkelijke akkoord van de betrokken klant opdat persoonsgegevens kunnen worden doorgespeeld of doorverkocht aan derden. Uitzonderingen zijn voorzien wanneer de wet de overdracht van de gegevens verplicht stelt, denk bijvoorbeeld aan de uitgifte van de identiteitskaart, of wanneer de verdere uitvoering van een overeenkomst dit vereist. In specifieke gevallen zal ook het vitaal belang, het openbaar belang of een gerechtvaardigd belang een gegevensverwerking mogelijk maken. Voorbeelden zijn het doorspelen van noodzakelijke medische gegevens van een bewusteloos slachtoffer of het aanleggen van een register van houders van treinabonnementen door de NMBS.

Banken zijn daarenboven gehouden tot een geheimhoudingsplicht. Volgens de Privacycommissie kunnen zij slechts persoonsgegevens doorspelen in een beperkt aantal gevallen. In het licht van antiwitwaswetgeving of wettelijke bescherming tegen overmatige kredieten bijvoorbeeld. Of aan onderaannemers, wanneer de bank het beheren van een online platform aan een informaticabedrijf uitbesteed.

De Privacycommissie nam de plannen van ING Nederland alvast onder de loep en kon alleen maar vaststellen dat het proefproject niet per definitie onwettig is. Op voorwaarde dat de bank de expliciete toestemming van de betrokken klanten verkrijgt en er geen ‘gevoelige’ gegevens worden ingewonnen die door de wet een extra bescherming genieten. Volgens voorzitter Willem De Beuckelaere stelt zich omtrent de vereiste toestemming wel nog enige onduidelijkheid: “Waarvoor geeft de klant precies zijn toestemming? En vooral: hoe doet die dat?” De Beuckelaere geeft wel toe zich ethische vragen te stellen bij de steeds verdergaande evolutie van het vermarkten van persoonlijke data. “Bedrijven krijgen altijd wel de noodzakelijke toestemming van de klanten door het geven van allerlei voordelen en cadeautjes.”

Normalisatie

De gelatenheid waarmee doorgaans op het commercialiseren van persoonsgegevens wordt  gereageerd is net ook de reden waarom de praktijken vaak al jarenlang bestaan. We worden – mede door het gebruik van sociale media – erg nonchalant als het om onze persoonlijke gegevens gaat. We delen ze aanzienlijk in ruil voor kortingskaarten, voordelen, gratis diensten en maken ons doorgaans niet veel zorgen over wat anderen met deze gegevens aanvangen. Onterecht blijkt nu. Al deze dienstverleners zijn één voor één bedrijven met een commerciële ingesteldheid, of het nu gaat om online zoekmachines, de supermarkt en zelfs uw vertrouwde bank.

Het kan dus geen kwaad om wat alerter te zijn en op z’n minst transparantie te eisen over de ware toedracht van de commerciële deals. Het verdienmodel van Google en Facebook mag dan wel op onze persoonsgegevens zijn gestoeld, van banken en gemeentebesturen verwachten we dit allerminst. Banken halen hun winst uit de financiële producten die ze aanbieden; onze eigenste persoonsgegevens zijn daar tot nader order geen deel van. En ook van gemeentebesturen kan bezwaarlijk vermoed worden dat zij een winstgevend oogmerk zouden hebben. Lokale besturen dienen over de privacy van hun burgers te waken, niet deze voor een appel en een ei verhandelen.

Dat net banken zich nu op privacy-glad ijs wagen maakt wel één zaak duidelijk. Wanneer het gaat om financiële gegevens zijn burgers doorgaans gevoeliger en kritischer. Het leek wel alsof de betekenis van het woord privacy werd herontdekt. Betrokken klanten schreeuwden moord en brand en concurrerende banken waren er als de kippen bij om hun privacyvriendelijke dienstverlening extra in de verf te zetten. Een beetje paradoxaal, want doorgaans vindt Jan Modaal de privacy-discussie ferm bij de haren getrokken, maar eigen slachtofferschap leidt vaak tot nieuwe inzichten. En de discussie wordt tenminste nog gevoerd en dat kan enkel maar betekenen dat privacy nog lang niet dood is. Al zijn er dan al enkelen die dansen op haar graf…

Besluit

Het commercialiseren van persoonsgegevens botst met het recht op privacy. Privacy is verworven en onverhandelbaar. Enkel de vrije toestemming van de betrokkene maakt een inperking van dit recht mogelijk. Maar hoe vrij is deze toestemming werkelijk als daar tal van voordelen tegenover staan, die we met een star behoud aan onze privacy lijken te mislopen? En van vrije toestemming lijkt al helemaal geen sprake wanneer de klant – lees: wij – niet eens weet dat diens persoonsgegevens onscrupuleus worden verhandeld. De kleine lettertjes in de algemene voorwaarden zijn slechts een listig trucje, de naam toestemming nauwelijks waardig. Maar bedrijven lijken zich op deze manier wel in te dekken. U hoort maar te lezen wat u ondertekent, toch? En zo ligt de eindverantwoordelijkheid steeds bij de klant, die al te argeloos omspringt met zijn persoonsgegevens in de zoektocht naar de goedkoopste producten, voordeligste woonlening, spectaculaire kortingen,… Maar die krijgt u natuurlijk nooit zomaar. Ook privacy heeft zijn prijs. Eén die we maar al te graag betalen, zo blijkt. Althans, tot Big Bank opdook.