POSTADRES TEL
AAN
Postbus 93374, 2509 AJ Den Haag
070 - 381 13 00
ING Groep
FAX
070 - 381 13 01
BEZOEKADRES
E-MAIL
Prins Clauslaan 20
[email protected]
INTERNET
DATUM ONS KENMERK
www.cbpweb.nl
20 maart 2003 z2002-0881
CONTACTPERSOON
UW BRIEF VAN UW KENMERK
ONDERWERP
relatiebestand ING Groep Het College bescherming persoonsgegevens (CBP) heeft diverse vragen en klachten ontvangen over de mailing van de ING Bank en de Postbank inzake het voornemen om de relatiegegevens van klanten voortaan in één centraal systeem vast te leggen. Het CBP ziet ingevolge artikel 51 Wet bescherming persoonsgegevens (WBP) toe op de verwerking van persoonsgegevens overeenkomstig het bij en krachtens de wet bepaalde. Het CBP heeft een onderzoek ingesteld naar de wijze waarop ten aanzien van de aanleg van het centrale relatiebestand van de ING Groep toepassing wordt gegeven aan het bepaalde bij of krachtens de wet. Het CBP is hiertoe bevoegd op grond van artikel 60 WBP. De klachten hadden in het bijzonder betrekking op: - het niet vragen van toestemming voor de opname van de klantgegevens in dit relatiebestand, - de summiere informatievoorziening over het exacte doel en de reikwijdte van het bestand, - de verwijzing naar de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen die in tegenstelling tot de vermelding in de brief nog niet van kracht bleek te zijn. Het CBP beperkt zich, gelet op de reikwijdte van het onderzoek, tot het doen van een uitspraak over de rechtmatigheid van de aanleg van het relatiebestand. Het treedt niet in de regels die gelden voor het gebruik van de gegevens in de database. Het CBP heeft op 12 september 2002 een toelichting gevraagd aan de ING Bank en de Postbank. Bij brief van 26 september 2002 heeft de ING Bank hierop geantwoord. Naar aanleiding hiervan heeft op 22 oktober 2002 een gesprek tussen de ING en het CBP plaatsgevonden. Het CBP heeft op 31 oktober 2002 een overzicht ontvangen waarin staat aangegeven welke gegevens in dit bestand zullen worden opgenomen. Bij brief van 6 november 2002 heeft het CBP de feiten die uit de correspondentie en het gevoerde gesprek naar voren zijn gekomen aan de ING Groep voorgelegd. Bovendien heeft het de ING Groep verzocht op enkele punten een nadere toelichting te geven. Hierop is bij brief van 22 november 2002 gereageerd. Bij brief van 27 januari 2003 heeft het CBP zijn voorlopige standpunt in deze kwestie aan de ING Groep meegedeeld. Het CBP heeft de ING Groep in de gelegenheid gesteld hierop te reageren. Bij brief van 4 maart 2003 heeft de ING Bank het CBP zijn reactie op het voorlopige standpunt van het CBP doen toekomen. Het CBP heeft deze reactie bestudeerd en alles overwegende zijn definitieve standpunt geformuleerd.
BIJLAGEN BLAD
1
DATUM ONS KENMERK
20 maart 2003 z2002-0881
Achtereenvolgens zal worden ingegaan op: 1. Feiten en achtergronden; 2. Toetsing aan het wettelijk kader; 3. Conclusies.
1. Feiten en achtergronden Er is sprake van een toenemende integratie van de interne bedrijfsvoering bij de ING Groep. Binnen de ING Groep worden de verschillende merken steeds meer geïntegreerd terwijl ze naar de consument toe voorlopig gehandhaafd blijven. Een onderdeel van deze integratie is het opzetten van een bestand met gegevens van klanten van ING Bank, Postbank en RVS. De productlijnen behorende tot de drie hiervoor genoemde merken leveren klantgegevens aan voor het bovengenoemde bestand. De klanten zijn hierover middels een brief geïnformeerd. Er zijn ongeveer 10.000.000 brieven verstuurd. De brief bood klanten de mogelijkheid bezwaar te maken tegen opname van hun gegevens in dit relatiebestand. Verantwoordelijke In concernverhoudingen is de verantwoordelijke in de zin van artikel 1, onder d, WBP de rechtspersoon onder wiens bevoegdheid de operationele gegevensverwerking plaatsvindt. De ratio hierbij is dat de betrokkene in het maatschappelijk verkeer kan weten ten aanzien van wie hij zijn rechten desgewenst kan uitoefenen. Het is evenwel mogelijk een regeling te treffen waarbij in de statuten van de betrokken rechtspersonen of via een overeenkomst aan een bepaalde rechtspersoon binnen het concern de bevoegdheid wordt toegekend om doel en middelen van de gegevensverwerkingen binnen het concern te bepalen. De genoemde rechtspersoon – bijvoorbeeld de moedermaatschappij – is dan verantwoordelijke in de zin van de WBP voor alle gegevensverwerkingen die binnen het concern plaatsvinden. Blijkens de melding ‘het aangaan en uitvoeren van overeenkomsten van financiële dienstverlening’ van ING Cliëntenadministratie blijkt dat ING Cliëntenadministratie Nederland B.V. , onderdeel van ING Groep, de verantwoordelijke in de zin van de WBP is voor alle groepsmaatschappijen van ING Groep N.V. in Nederland. Doel relatiebestand Het doel van het bestand is op basis van de gegevens uit de verschillende productlijnen klanten te benaderen voor marketingdoeleinden en het uitvoeren van statistisch onderzoek. De uitkomsten van dit statistisch onderzoek worden uitsluitend voor marketingdoeleinden gebruikt. Het bestand en de statistische uitkomsten worden niet gebruikt voor acceptatiedoeleinden. Het onderhavige relatiebestand is een bestand met klantgegevens van ING Bank, Postbank en RVS. Dit betreft Postbank N.V., Postbank Groen N.V., Postbank Levensverzekering N.V. Postbank Schadeverzekering N.V., RVS Levensverzekering N.V., RVS Schadeverzekering N.V., ING Bank N.V., ING Car lease N.V. het Assurantiebedrijf van ING Bank N.V. en Bank Mendes Gans N.V. De overige dochterondernemingen van ING Groep zijn hierbij niet betrokken. De aard van de betreffende gegevens De gegevens die in het relatiebestand worden opgenomen zijn - naam, adres en woonplaats (NAW-gegevens),
BLAD
2
DATUM ONS KENMERK
20 maart 2003 z2002-0881
- type klant en - afname van producten op productgroepniveau met per product een kenmerk. Dit kenmerk betreft informatie over de voeding van een rekening, saldoinformatie, pensioenopbouw, spaartegoed, restschuld of premie. De ING Groep heeft het CBP op 31 oktober 2002 een lijst met de exacte gegevens toegestuurd die vallen onder de financiële gegevens die in de database opgenomen zullen worden. Samengevat betreft dit: - rendement/klantwaarde voor de ING Groep, - schatting maandinkomen voor de labels die dat kunnen leveren en - een indicatie of een klant een bepaald product heeft met de daarbij behorende waarde van het product. Informatie De ING Groep heeft haar klanten middels een brief geïnformeerd over de aanleg van deze database. Deze brief wijst de klanten erop dat alle klantgegevens voortaan in één centraal systeem worden vastgelegd. Zo wordt verspilling voorkomen doordat dingen dubbel worden verstuurd en kan de ING Groep de dienstverlening nog gerichter op de persoonlijke behoefte van de cliënt afstemmen. Als iemand er bezwaar tegen heeft dat zijn gegevens in dit klantensysteem worden opgenomen kon hij dit aangeven via een bijgevoegde coupon. In de brief wordt verwezen naar de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen die vanaf 1 september 2002 van kracht zou zijn. In haar toelichting heeft de ING gesteld dat in een eerdere versie van de brief gedetailleerd werd ingegaan op de categorieën gegevens die in het bestand opgenomen zouden worden. Uiteindelijk is naar aanleiding van marktonderzoek gekozen voor de versie waarin niet is aangegeven om welke gegevens het precies gaat. De brief aan de betrokkenen spreekt over ‘alle klantgegevens’.
2. Toetsing aan het wettelijk kader: verenigbaar gebruik Het gaat in de onderhavige situatie in het bijzonder over de vraag of de verwerking van persoonsgegevens waarover bepaalde onderdelen van de ING Groep beschikken, voor een ander doel dan waarvoor die gegevens oorspronkelijk verkregen zijn, te weten de aanleg van een centraal relatiebestand, rechtmatig is. Het CBP concentreert zich daarom in deze uitspraak op artikel 9 WBP. De andere vereisten van de WBP worden in dit onderzoek niet betrokken. Volgens artikel 9 WBP worden persoonsgegevens niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. Om dit te kunnen bepalen moet een verenigbaarheidstoets worden uitgevoerd. ING Bank geeft in zijn reactie van 4 maart 2003 aan dat hij in tegenstelling tot hetgeen het CBP in zijn voorlopige standpunt stelde van mening is dat financiële instellingen het doel van verzameling niet zonder meer geconcretiseerd hebben in meerdere activiteiten. Gesteld wordt
BLAD
3
DATUM ONS KENMERK
20 maart 2003 z2002-0881
door ING dat de verwerking van gegevens plaats vindt in het kader van een efficiënte en effectieve bedrijfsvoering, in het bijzonder gericht op een veelheid van activiteiten, waaronder marketing en statistische analyse. Met andere woorden, ING bank stelt dat er sprake is van een zogenaamde koepeldoelstelling; een beschrijving die een geheel van min of meer samenhangende doelstellingen omvat. Het CBP wijst er op dat het voor de uitkomst van de verenigbaarheidstoets geen verschil maakt of gesproken wordt over concretisering in meerdere activiteiten of dat de diverse activiteiten geschaard worden onder de koepeldoelstelling ‘efficiënte en effectieve bedrijfsvoering’. Immers, een dergelijke koepeldoelstelling voldoet alleen aan de in artikel 7 WBP neergelegde vereiste van welbepaaldheid als bij de toepassing van het daarmee samenhangende vereiste van artikel 9 WBP (‘verenigbaarheid met het doel van verkrijging’) wordt gelet op die specifieke onderdelen van de doelstelling die daarbij aan de orde zijn. Dit betekent dat in casu bekeken moet worden of het doel van de aan de orde zijnde verwerking– het aanleggen van het relatiebestand - verenigbaar is met die activiteit of activiteiten waarvoor de persoonsgegevens oorspronkelijk zijn verkregen. De gegevens zijn door de betreffende dochterondernemingen primair verkregen om een bepaald financieel product te leveren. De ING Groep is van mening dat het ingevolge de gedragscode ‘Verwerking Persoonsgegevens Financiële Instellingen’ en de WBP is toegestaan, dat de cliënt ten behoeve van marketingactiviteiten wordt benaderd door alle vennootschappen van de groep. Het CBP heeft in het gevoerde gesprek bevestigd dat de cliënt in beginsel benaderd mag worden door alle vennootschappen van de groep ten behoeve van marketingactiviteiten. Een voorwaarde hiervoor is echter wel dat aan de vereisten van de WBP is voldaan: de verwerking moet verenigbaar zijn met het doel waarvoor de gegevens verkregen zijn. Dit betekent in casu dat het opnemen van de gegevens in het centrale klantenbestand verenigbaar moet zijn met het doel waarvoor de gegevens door de diverse dochterondernemingen zijn verkregen. Vervolgens dient zoals ING terecht stelt in zijn reactie van 27 november 2002 en 4 maart 2003 bij het gebruik van de gegevens in het relatiebestand in elke concrete situatie de afweging gemaakt te worden of ook deze verwerking verenigbaar is met het doel van verkrijging. ING bank geeft aan dat voor het gebruik van de gegevens in het bestand de noodzakelijke procedures zijn geïmplementeerd. Het CBP heeft zich echter in het onderhavige onderzoek beperkt tot de rechtmatigheid van de aanleg van het bestand. In ieder geval de volgende factoren moeten onderling worden afgewogen om te beoordelen of er sprake is van verenigbaar gebruik: a. de verwantschap tussen het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen; b. de aard van de betreffende gegevens; c. de gevolgen van de beoogde verwerking voor de betrokkene; d. de wijze waarop de gegevens zijn verkregen en e. de mate waarin jegens de betrokkene wordt voorzien in passende waarborgen.
BLAD
4
DATUM ONS KENMERK
20 maart 2003 z2002-0881
Het gaat bij dit verenigbaar gebruik om open normen die van geval tot geval moeten worden beoordeeld en gewogen om te kunnen vaststellen of een bepaalde gegevensuitwisseling geoorloofd is. Wanneer het niet op voorhand duidelijk is of verdere verwerking is geoorloofd, zal aan de hand van de criteria en op basis van de omstandigheden van de concrete situatie zorgvuldig moeten worden nagegaan of de verwerking mag plaatsvinden. Geen van de factoren is op zichzelf van doorslaggevende betekenis. Verwantschap De vraag is of het verstrekken van gegevens door diverse labels voor een centraal klantenbestand voor marketing- en wetenschappelijke doeleinden, verwant is aan het doel waarvoor de gegevens primair verkregen zijn. De gegevens zijn door de betreffende dochterondernemingen verkregen met als doel een bepaald financieel product te leveren. Om te bepalen of de verstrekking van gegevens aan de centrale klantendatabase verwant is aan dit doel, moet onder meer worden gekeken naar de onderliggende rechtsverhouding tussen de betrokkene en de verantwoordelijke, en naar de verwachtingen die de betrokkene uit hoofde daarvan redelijkerwijs kan hebben over het gebruik van zijn persoonsgegevens. In zijn algemeenheid kan gesteld worden dat er een verwantschap bestaat tussen het verkrijgen van gegevens door één van de dochterondernemingen om een bepaald financieel product te leveren en het verwerken van cliëntgegevens door dezelfde dochteronderneming voor marketingdoeleinden. Het betreft in het onderhavige geval echter de verwerking van persoonsgegevens voor marketingdoeleinden mede ten behoeve van andere dochterondernemingen binnen de ING Groep. Het feit dat de ING Groep er – ondanks de toenemende integratie van de interne bedrijfsvoering – voor kiest om de verschillende labels naar de klant toe te laten bestaan, leidt ertoe dat cliënten nog steeds primair een relatie aangaan met een dochteronderneming en niet met de ING Groep als geheel. Hierdoor ontstaat er een spanning tussen de praktijk bij de ING Groep, waar sprake is van voortschrijdende integratie van de concernonderdelen, en de verwachting van de cliënt die een relatie is aangegaan met één of meer van de afzonderlijke labels. Wil er sprake zijn van verwantschap tussen het verkrijgen van gegevens door een label om een bepaald product te kunnen leveren, en het verstrekken van deze gegevens aan een klantenbestand ten behoeve van een aantal labels voor marketing en wetenschappelijke doeleinden, dan moet de ING groep er onder meer voor zorgdragen dat duidelijke informatie gegeven wordt over de integratie van de diverse bedrijfsonderdelen zodat verwarring hierover voorkomen wordt. Het feit dat de ING Groep op mailings, enveloppen en dagafschriften door middel van het logo aangeeft dat de diverse dochterondernemingen deel uitmaken van de ING Groep is hier een onderdeel van. Het geeft echter niet voldoende helder aan in hoeverre iemand wordt beschouwd als klant van een dochteronderneming of van het concern als geheel. Het spreekt vanzelf dat verwantschap daarnaast afhankelijk is van de aard van het financiële product met het oog waarop de gegevens oorspronkelijk verkregen zijn. De rechtsverhouding die daaruit voortvloeit, kan immers ook naar zijn aard meer of minder vergaande beperkingen met
BLAD
5
DATUM ONS KENMERK
20 maart 2003 z2002-0881
betrekking tot het gebruik van die gegevens met zich meebrengen. Dit kan ook binnen één en dezelfde dochteronderneming het geval zijn. Gelet op de eerder gemelde feiten en achtergronden kan echter worden volstaan met deze vaststelling. De aard en de gevoeligheid van de betreffende gegevens Als alleen NAW-gegevens worden verstrekt ten behoeve van het sturen van direct marketing, heeft dit in principe geen grote gevolgen voor de betrokkene. Als andere meer inhoudelijke gegevens worden verstrekt, zal minder snel sprake kunnen zijn van verenigbaar gebruik. In dit geval is het belang van de betrokkene bij het respecteren van de doelbinding in principe immers groter. Het gaat in casu deels om gegevens die in het maatschappelijk verkeer een zekere gevoeligheid bezitten. Over het algemeen is men immers terughoudend met het prijsgeven van persoonlijke financiële informatie. Dit geldt in principe ook voor klanten van verschillende dochterondernemingen ten opzichte van elkaar. Het feit dat het hier gevoelige informatie betreft en de aard van de relatie zodanig is dat men vertrouwelijkheid mag verwachten, brengt met zich mee dat betrokkenen helder geïnformeerd dienen te worden over de aard van de gegevens die zullen worden uitgewisseld en het gebruik dat daarvan zal worden gemaakt. Dit stelt hen immers in staat om zelf af te wegen of zij wel of niet gebruik willen maken van de tegen deze verwerking geboden bezwaar mogelijkheid. Gevolgen voor de betrokkenen Het doel van het relatiebestand is het benaderen van personen voor direct marketing, of het gebruiken van de gegevens voor statistisch onderzoek. Dit zijn – mits de uitslagen van het onderzoek niet worden teruggekoppeld naar de persoon – beide in principe geen verwerkingen die grote gevolgen voor de betrokkenen hebben. Het gebruik van persoonsgegevens voor DM of wetenschappelijk onderzoek heeft immers geen invloed op iemands mogelijkheden tot maatschappelijke ontplooiing. Ieder is vrij de aan hem gestuurde mailing al dan niet te lezen. Weliswaar kan een bepaalde selectie er toe leiden dat sommige personen juist niet worden benaderd, maar ook die mogelijkheid heeft in het onderhavige geval slechts beperkte gevolgen. De wijze waarop de gegevens verkregen zijn Als de gegevens vrijwillig zijn verstrekt zal er eerder sprake zijn van verenigbaar gebruik dan wanneer de betrokkene de gegevens voor een (ander) bepaald doel heeft moeten afgeven. Overigens speelt de verwachting van de betrokkene over het gebruik van zijn gegevens in het eerste geval een belangrijke rol voor de beantwoording van de verenigbaarheidsvraag. Zoals eerder gezegd wordt deze verwachting mede bepaald door de aard van de onderliggende relatie en de informatie die de cliënt heeft gekregen. In de onderhavige situatie hebben de betrokkenen hun gegevens primair verstrekt voor het verkrijgen van een financieel product bij één van de betrokken dochterondernemingen.
Passende waarborgen De mate waarin passende waarborgen dienen te worden getroffen, hangt af van de uitkomst van de weging van de vier hiervoor genoemde criteria. In het uiterste geval zal aan de betrokkene
BLAD
6
DATUM ONS KENMERK
20 maart 2003 z2002-0881
toestemming gevraagd moeten worden voor een bepaalde gegevensverwerking. In minder ‘zware’ gevallen volstaat het bieden van een bezwaarmogelijkheid of het informeren van de cliënt over een bepaalde gegevensverwerking. De ING Groep heeft cliënten in de gelegenheid gesteld bezwaar te maken tegen opname van hun gegevens in het relatiebestand.
3. Conclusies In beginsel mag de cliënt benaderd worden door alle vennootschappen van de groep ten behoeve van marketingactiviteiten. Een voorwaarde hiervoor is echter wel dat de beoogde verwerking verenigbaar is met het doel waarvoor de gegevens verkregen zijn. In de onderhavige situatie heeft de ING Groep onvoldoende duidelijkheid naar de cliënten toe gegeven. De cliënt kan niet – bijvoorbeeld bij het openen van een rekening bij de Postbank – vermoeden dat hij als klant van de gehele ING groep zal worden beschouwd. De bestaande spanning tussen de toenemende integratie van de interne bedrijfsvoering enerzijds en de beslissing om de merknamen in de richting van de cliënten te handhaven anderzijds is hier deels debet aan. Weliswaar heeft de desbetreffende mailing cliënten er van op de hoogte willen stellen dat hun gegevens in een centrale database opgenomen zullen worden ten behoeve van marketing en statistisch onderzoek, maar doordat het doel van dit bestand in deze brief zeer globaal was omschreven en de aard van de uit te wisselen (deels gevoelige) gegevens niet was gespecificeerd, was de verschafte informatie onvoldoende. Ook bij navraag bij de helpdesk of het raadplegen van de genoemde website werd onvoldoende duidelijkheid gegeven over het doel van klantenbestand en de aard van de uit te wisselen gegevens. Door de weinig specifieke wijze waarop de betrokkenen in de brief zijn geïnformeerd over de op handen zijnde gegevensverstrekking is in de onderhavige situatie dan ook geen sprake van een verstrekking die verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Het CBP is van oordeel dat de ING Groep – in de situatie dat voldoende geïnformeerd zou zijn geweest – niet expliciet toestemming had hoeven vragen aan de cliënten voor een dergelijke gegevensverwerking. De informatie en de geboden bezwaarmogelijkheid zouden in de onderhavige situatie voldoende passende waarborgen hebben geboden. Als de informatie wel voldoende was geweest, was er dan ook geen sprake geweest van onverenigbaar gebruik. Het CBP wil hierbij wel uitdrukkelijk aantekenen dat dit laatste oordeel anders zou kunnen uitvallen, indien de centrale database meer gevoelige gegevens zou bevatten. De onderhavige casus ligt wat dit betreft naar het oordeel van het CBP dicht bij de kritische grens. Verwijzing naar de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen. In de brief die de Postbank RVS en ING aan hun klanten hebben gestuurd is verwezen naar de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen die vanaf 1 september 2002 van kracht zou zijn. Uit de brief van de ING van 4 maart 2003 blijkt dat de ING er bij opstelling
BLAD
7
DATUM ONS KENMERK
20 maart 2003 z2002-0881
van de brief aan de betrokkenen van uitging dat de gedragscode op 1 september 2002 door het CBP zou zijn goedgekeurd. Gezien het feit dat de code op 31 juli 2002 aan het CBP ter goedkeuring is voorgelegd en de in artikel 25 WBP voorziene procedure voor de goedkeuring was dit niet waarschijnlijk. De gedragscode is uiteindelijk pas op 27 januari 2003 goedgekeurd (zie Stcrt. 2003, nr. 23). ING geeft daarnaast aan dat het hem vrij stond de Gedragscode reeds zelfstandig van toepassing te verklaren. Het verbaast het CBP dat de ING zich op het standpunt stelt dat hij de code zelfstandig van toepassing heeft verklaard en daarmee de cliënten niet onjuist zou hebben voorgelicht. Bij het raadplegen van de website van de Postbank of ING Bank bleek namelijk dat de Gedragscode – in tegenstelling tot wat de brief aan de betrokkenen aangaf – niet van kracht was; op de website stond namelijk een concept gedragscode met daarin een verwijzing naar de te vragen goedkeuring van het CBP. Het CBP is daarom van oordeel dat de ING Groep hierdoor tegenover zijn cliënten onzorgvuldig heeft gehandeld. Cliënten zijn onjuist geïnformeerd, omdat in de brief aan de betrokkenen de suggestie is gewekt dat conform een gedragscode is gehandeld die reeds van kracht was. Het CBP zal de verzoekers op de mogelijkheid wijzen om zich met hun klacht te wenden tot de burgerlijke rechter. Op grond van artikel 49 WBP kunnen zij voor zowel materiële als immateriële schade een vordering tot schadevergoeding indienen. Het CBP kan echter niet beoordelen of een dergelijke actie succes zal hebben. Het CBP acht het niet opportuun om, zoals de ING voorstelt, betrokkenen nadat het CBP een uitspraak over de rechtmatigheid van de desbetreffende gegevensverwerking heeft gedaan, nog te verwijzen naar Geschillencommissie Bankzaken. Klagers zullen een afschrift van dit standpunt krijgen toegezonden. Het CBP stuurt de klagers ook een afschrift van uw brief van 4 maart 2003.
Hoogachtend,
drs. J.W. Broekema Collegelid
BLAD
8