Kamervragen over de behandeling van bankgegevens

Klopt de stelling dat zelfs de bankgegevens van mensen die geen toestemming hebben gegeven voor het delen daarvan in de database van een financieel- technologisch bedrijf terecht kunnen komen?

Betaaldienstverleners kunnen in specifieke gevallen toegang krijgen tot gegevens van anderen dan de rekeninghouder. Dit kan bijvoorbeeld het geval zijn als de rekeninghouder toestemming heeft gegeven voor toegang tot zijn betaalrekening voor het maken van een huishoudboekje. Daarmee krijgt de betaaldienstverlener toegang tot betaalgegevens, maar alleen voor zover hij die nodig heeft voor het verlenen van de gevraagde betaaldienst. Die gegevens kunnen ook gegevens van derden omvatten, bijvoorbeeld als de rekeninghouder geld heeft overgemaakt aan een derde in een bepaalde periode. Dit betreft zogenoemde silent party data.

EDPB

De European Data Protection Board (EDPB) heeft eerder geoordeeld dat verwerking van silent party data door een betaalinitiatiedienstverlener of rekeninginformatiedienstverlener in het kader van PSD2 mogelijk is op grond van diens legitiem belang bij uitvoering van het contract met de betaaldienstgebruiker (de rekeninghouder). Daarbij wordt het legitiem belang beperkt en bepaald door de verwachtingen die een betrokkene redelijkerwijs mag hebben bij de verwerking van zijn gegevens. Daarom kunnen silent party data volgens de EDPB niet verwerkt worden voor andere doelen dan het uitvoeren van die specifieke betaaldienstovereenkomst.

Verzekeraars

Herkent u het beeld dat er een omkering van bewijslast ontstaat bij misbruik van data zoals betaalgegevens, bijvoorbeeld wanneer een verzekeraar op basis van die data iemand in een bepaalde risicocategorie plaatst?

Het gebruik van betaalgegevens voor het maken van een risico-inschatting door een verzekeraar valt buiten de reikwijdte van PSD2. Gegevens van derden die daarvoor geen toestemming hebben gegeven – zogenoemde silent party data – mogen niet voor risico-inschatting worden gebruikt, omdat dit een ander doel is dan het uitvoeren van de betaaldienstovereenkomst is. De kern van het verzekeringsbedrijf is het op basis van informatie over verzekerden een risico-inschatting maken en op basis daarvan een premie berekenen. Het is daarbij noodzakelijk om gebruik te maken van (persoonlijke) data. Deze persoonlijke data kunnen ook betaalgegevens omvatten, mits daarvoor een rechtsgrond aanwezig is, zoals toestemming van de betrokkene. Het geven van toestemming moet voldoen aan een aantal eisen, waaronder dat toestemming vrijelijk moet zijn gegeven. Volgens de AVG is daaraan niet voldaan als betrokkene geen echte vrije keuze heeft of zijn toestemming niet kan weigeren zonder nadelige gevolgen.

Het Verbond van Verzekeraars heeft de Solidariteitsmonitor geïntroduceerd. Daarmee wordt voor een grote en zeer diverse groep maatmensen doorgerekend hoe de premies zich ontwikkelen. Hiermee wil het Verbond de vinger aan de pols houden. Ik vind dit een goed initiatief. Op dit moment zijn er daarmee waarborgen om het gevaar van ‘omkering van bewijslast’ bij gebruik van betaalgegevens tegen te gaan. Dit risico vergt blijvende aandacht van verzekeraars.

Bron: Rijksoverheid