Reactie op ‘Nieuwe banken scoren slecht op privacytest’

Bankgegevens zijn gevoelige gegevens. Genoeg reden voor de Consumentenbond om eens te controleren hoe het ervoor staat met de bescherming van privacygegevens bij internetbankieren. Daaruit blijkt dat vooral nieuwe banken niet zorgvuldig met onze privacygegevens omgaan.  Voor NPORadio1 Stax en Toine mocht ik een reactie geven op dit bericht. Zie hier het radiofragment en het artikel .

Onduidelijkheid

De Consumentenbond onderzocht of de online privacy bij deze banken wel volgens de wetgeving verloopt en daarin constateren ze dat er banken zijn die zich niet aan de wet houden.  De banken die uit het onderzoek springen en zich niet houden aan de privacywetgeving zijn Bunq, N26, Openbank en Revolut. Dit zijn vooral de nieuwere en mobiele banken die hun diensten aanbieden via een app en website. 

Martijn van der Veen van Privacy First: ‘Als consument moet je weten waar je aan toe bent, welke gegevens een bank van je verzamelt en wat zij er mee doen. Dat is bij deze banken niet duidelijk. Je moet van tevoren als consument op de hoogte zijn van of de bank jouw gegevens gebruikt voor marketingdoeleinden of doorspeelt naar andere partijen, zegt Van der Veen. Dan kan je zelf kiezen of je wel met die bank in zee wilt gaan. Dat wordt nu nergens aangegeven en dat maakt de positie van de consument minder sterk.’

(tekst gaat verder onder de afbeelding)

Vertrouwen van de klant

De nieuwere banken zijn van oorsprong buitenlandse banken, maar dat zou volgens Van der Veen niet uit moeten maken. ‘Alle banken die financiële diensten aanbieden moeten voldoen aan privacywetten. Jong of oud zou niet uit moeten maken.’ Ook het feit dat het buitenlandse banken zijn, zou geen verschil moeten mogen maken. ‘Deze banken opereren in Nederland en werken met Nederlandse consumenten, dus zij moeten voldoen aan Nederlandse Wetgeving.’ 

Voor banken is het zelfs extra relevant om de privacy goed op orde te hebben, zegt Van der Veen: ‘Consumenten willen zekerheid dat hun betalingen goed verlopen en dat hun geld veilig is. Dat geldt ook voor de privégegevens. Als je als bank je website of app niet in orde hebt, kost dat je het vertrouwen van je klanten. De banken hebben zichzelf ermee.’

Aanpassen informatie

De meer traditionele banken, zoals de ASN Bank, KNAB en SNS doen het een stuk beter wat betreft privacy, maar ook zij plaatsen advertentie-volgcookies zonder er op de juiste wijze toestemming voor te vragen. Hoe kan het dat het ook bij deze banken niet goed gaat? ‘Het kan slordigheid zijn van banken, dat ze er niet scherp genoeg op zijn. Wat sommige organisaties doen is het privacybeleid en privacystatement zelf schrijven en te weinig aan consumenten vragen of ze de informatie begrijpen waarin wordt verteld welke informatie de banken willen delen’, zegt Van der Veen. Naar aanleiding van het onderzoek van de Consumentenbond geven alle banken aan dat ze hun informatie aan zullen passen. ‘Het is jammer dat er eerst een onderzoek moet worden uitgevoerd, voordat er iets aan wordt gedaan, maar het is een mooie basis om de zaken beter op orde te krijgen.’ 

Laat je stem horen

Van der Veen: ‘Je moet altijd weten met wie je zaken doet. Als je weet dat jouw bank de online privacy niet waarborgt, kun je je bedenken of het de bank is die je kunt vertrouwen.’ Je moet als consument dus altijd alert zijn.  Wat je als tweede optie kunt doen volgens Van Der Veen is een mail sturen naar de desbetreffende bank met de vraag of zij hun zaken willen verbeteren. ‘Als ze het goed doen luisteren ze naar je, omdat ze jou als klant willen behouden.’

Bron: AVRO TROS Radar

Schulden zonder stigmatisering

Het is ongelofelijk dat in Nederland 600.000 mensen problematische schulden hebben. Schulden beïnvloeden je leven. Schulden houden je altijd bezig: ‘kan ik mijn huur deze maand betalen?’ of ‘we hebben nog vijf euro, wat eet mijn gezin vanavond?’

Mensen met schulden zijn heel kwetsbare mensen. Stigmatisering, uitsluiting, beïnvloeding door een ongunstig risicoprofiel zijn voorbeelden van wat mis kan gaan. Van een stempel kom je niet zo maar af. Partijen die werken met persoonsgegevens van mensen met schulden moeten extra hun best doen om te voorkomen dat zij niet beschadigd raken. Dan moet je méér doen dan wat de wet vraagt en extra transparant, duidelijk en betrouwbaar zijn.

Onderzoek naar Geldfit

Voor Privacy First voerde ik een klein onderzoek uit nadat enkele bezorgde signalen waren ontvangen over de Nationale Schuldhulproute. Om de schuldhulpverlening te stroomlijnen is deze Route opgezet om duidelijker te maken hoe hulp wordt geboden en door wie. Het onderzoek richtte zich op een belangrijke speler in de schuldhulpverlening, Geldfit. Deze organisatie positioneert zich als het startpunt voor schuldhulpverlening. Dit onderzoek bracht enkele zorgen over de omgang met privacy en persoonsgegevens naar boven.

De eerste zorg betrof transparantie en informatie. Een organisatie informeert mensen over (voorgenomen) verwerkingen, vaak met een privacy statement. Met die informatie kan iemand zich overtuigen of hij zijn gegevens wel moet verstrekken aan deze partij. Maar kan je een partij vertrouwen als deze verwijst naar de Wet bescherming persoonsgegevens? Heeft privacy wel voldoende prioriteit?

Een tweede zorg betreft het gebruik van cookies. Het gebruik van trackingcookies van Google op een site met gevoelige gegevens? Niet doen! De AP tikte niet voor niets ziekenhuizen op hun vingers. Een bezoeker heeft geen waarborg dat zijn gegevens weglekken naar datahandelaren en profileringsbedrijven.

Een derde zorg betrof het verzamelen van te gedetailleerde informatie, in dit geval een postcode met 4 cijfers en 2 letters, terwijl voor de advisering alleen de eerste 4 cijfers nodig waren. Hier zou juist privacy by design toegepast moeten worden. Bovendien is niet duidelijk wat met deze informatie gedaan wordt.

Een laatste zorg betrof de rol van persoonsgegevens binnen het businessmodel. Als gegevens van een persoon worden verzameld, zelfs als deze anoniem zijn, mogen deze dan een belangrijke plek hebben binnen het datamodel van de organisatie?

Brief met zorgen en aanbevelingen

Privacy First stuurde naar aanleiding van het onderzoek een brief naar de organisatie Geldfit. Privacy komt tot leven bij concrete voorbeelden. Met de doelgroep in het achterhoofd weet je dat organisaties de lat hoog moeten leggen. Hopelijk staat Geldfit open voor de zorgen van Privacy First zodat schuldhulpverlening kan plaatsvinden, zónder negatieve privacyeffecten!

Lees hier de brief die vanuit Privacy First is verstuurd. Reacties en updates worden aan dit artikel toegevoegd.

20200219-Geldfit-v1-0Download

Plan van aanpak witwassen

Witwassen is een lastig onderwerp binnen ‘financiële privacy’. Deze wetgeving heeft het doel witwassen en (financiering van) terrorisme te bestrijden, iets waar je niet tegen kan zijn. Toch vraagt deze wetgeving om een voorzichtige houding. Voor je het weet worden grote infrastructuren opgetuigd om monitoring en gegevensuitwisseling mogelijk te maken.

Daar waar wetten rond dit onderwerp vaak technisch worden ingestoken kunnen gevolgen veel breder dan dat worden. Voor Privacy First schreef ik een bijdrage voor de internetconsultatie op het wetsvoorstel ‘Wet plan van aanpak witwassen’. Hierom keek ik niet alleen naar de tekst, maar probeer het voorstel ook vanuit mensenrechten en privacy-principes te bekijken.

De belangrijkste aandachtspunten:

  • de insteek vanuit Europese en Nederlandse beleidsmakers is gericht op het bestrijden van afwijkingen met weinig ook voor mensenrechten: wantrouwen en controle in plaats van vertrouwen en proportionele maatregelen
  • het wetsvoorstel wordt te vroeg ingebracht omdat verschillende adviestrajecten nog lopen
  • de AVG is te beperkt uitgewerkt het als risico dat waarborgen alleen op papier zullen bestaan
  • principiële bezwaren tegen verdergaande inperking van contante betalingen boven een bepaald bedrag
  • principiële bezwaren tegen grootschalige gegevensuitwisseling tussen Wwft-plichtigen en de opzet van infrastructuren hiervoor
  • interessante alternatieven die de aandacht waard zijn

Salderingsregeling en de slimme meter

Ik schreef een bijdrage voor de internetconsultatie op het wetsvoorstel ‘Omvorming van de salderingsregeling voor kleinverbruikers’. De titel doet vermoeden dat het gaat om de afbouw van de salderingsregeling. Toch heeft dit wetsvoorstel een grotere impact dan je zal denken. De wet zal iedereen (iedereen? ja, iedereen) verplichten tot het laten installeren van een digitale meter, al dan niet met communicatiemodule. De belangrijkste punten die ik voor Privacy First naar voren bracht zijn:

  • Verplichte installatie digitale meetinrichting niet proportioneel en niet verplicht
  • EU Richtlijn verplicht niet tot het afdwingen van plaatsing van een digitale meter, anders dan de Minister zegt
  • Verplichting aan alle kleinverbruikers is niet proportioneel omdat het beleidseffect maar een onbekende (maar waarschijnlijk kleine ) groep huishoudens gericht is
  • Privacyaspecten gaan verder dan de AVG-compliance waar de minister naar wijst
  • Gehanteerde terminologie (‘slimme meter’) zet consumenten en burgers op het verkeerde been: er bestaat geen slimme meter

Internetconsultatie is volgens de site ‘een nuttig instrument als aanvulling op de reeds bestaande consultatiepraktijk in het wetgevingsproces. Door internetconsultatie krijgen meer mensen, bedrijven en instellingen informatie over wetgeving die in voorbereiding is en kunnen zij suggesties doen om de kwaliteit en uitvoerbaarheid van deze voorstellen te verbeteren. Internetconsultatie vergroot de transparantie van het proces, de mogelijkheden voor publieke participatie en levert een bijdrage aan de kwaliteit van wetgeving.’ Een kans die je niet mag laten liggen.

Spreker over Financiële privacy en PSD2

Voor Privacy First mocht ik op de Nieuwjaarsreceptie van 8 januari een korte toelichting geven op de thema’s financiële privacy en PSD2. In een leuke ruimte was een bont gezelschap met experts, beleidsmakers en liefhebbers van privacy verzameld om het glas te heffen op het nieuwe jaar en bijgepraat te worden over blockchain, witwassen, cryptocurrency en PSD2. Mijn presentatie kan je hieronder vinden.