Op 24 februari kondigde de AP een onderzoek aan naar aanbieders van nieuwe online rekeningdiensten. Volgens eigen zeggen wil de AP te weten komen of die bedrijven zich bewust zijn van de privacyrisico’s die de verwerking van rekeninggegevens met zich meebrengt en of ze voldoen aan de privacyregelgeving. Naast het onderzoek stuurde de AP ook een brief met een uiteenzetting van de regels uit de AVG die voor hen het belangrijkst zijn.
Een persbericht alleen zegt weinig. Om te begrijpen of de brief en het onderzoek effect kunnen hebben wil je weten hoe het onderzoek er uit ziet, welke vragen gesteld worden en hoe diep ze gaan. Daarom dienden we een WOB verzoek in. Gelukkig reageerde de AP snel op ons verzoek en plaatste de brief online. Ook zegde ze toe het onderzoek zo snel mogelijk te publiceren na afronding.
Aanbieders zijn professionele partijen
Gaandeweg vroegen we ons steeds meer af: waarom stuurt de AP deze brief? Aanbieders van rekeninginformatiediensten zijn geen kleine jongens. Je start niet zomaar een rekeninginformatiedienst op. Wil je rekeninginformatiediensten gaan aanbieden zal je een vergunning van DNB moeten hebben, of een vergelijkbare vergunning uit een ander land. Om te voldoen aan de vergunningsvoorwaarden moet je een professionele dienst opgezet hebben. Van dergelijke partijen mag je verwachten dat zij voldoende juridische kennis in huis hebben of aan kunnen trekken. Je mag dus verwachten dat ze van de hoed en de rand van de AVG weten. Uit het register van de European Banking Authority is af te leiden dat vrijwel alle partijen al gevestigde financiële dienstverleners zijn. Waarom dan deze partijen met algemene informatie informeren?
Beperk je tot toezicht en handhaving
Beter was geweest om duidelijk te maken dat de AP toeziet op naleving van de AVG en dat ze van de partijen verwacht dat zij de wet naleven. De nadruk had kunnen liggen op naleving. Maar net dát punt laat de AP liggen. Waar de brief overal netjes verwijst naar wetsartikelen vergeet ze een verwijzing naar de artikelen waar deze bevoegdheden staan beschreven. En wat te denken van het persbericht waarin de AP over haar onderzoek zegt: “Het doel van het onderzoek is niet om sancties zoals boetes op te leggen, maar als de AP overtredingen constateert, kan de AP wel tot handhaving overgaan.” Wat zegt de AP hier eigenlijk mee?
Dataminimalisatie klinkt mooi, maar…
De AP informeert partijen over privacy by design, waaronder het toepassen van dataminimalisatie. Een aantal voorbeelden van toepassingen had een stuk gescheeld. Voor een aantal aanbieders zal het beperken van de hoeveelheid gegevens die ze verwerken goed mogelijk zijn. Een hypotheekverstrekker kan zich beperken tot de inkomsten van de afgelopen twee jaar, en heeft niet méér gegevens nodig. Maar (en daar ligt een groot risico) het gros van de aanbieders bestaat uit partijen die zich bezig houden met creditscores en risicoanalyses. Dit zijn partijen die zoveel mogelijk data verzamelen en deze het liefst koppelen met tal van databases. Je kan prima aan de AVG voldoen zonder de gegevensverzameling te beperken.
De wassen neus van informeren
Een punt van aandacht verdient het informeren van personen. Hoewel de AP lijkt te snappen waar het euvel van de PSD2 zit (‘Scherp beeld van privéleven’) laten ze een kans liggen de partijen te wijzen op belangrijke risico’s en voorwaarden waar ze aan moeten doen. Waarom zeggen dat ‘voor bepaalde verwerkingen een DPIA verplicht is’ en vervolgens niet zeggen: u kunt er van uit gaan dat dit van u van toepassing is, en wanneer we op bezoek komen en deze is niet aanwezig, gaan we u sanctioneren.
De AP ziet toe op naleving van de wet. Ze wijst aanbieders op de informatieplicht. De AP zal toch ook weten dat deze informatie consumenten niet helpt bij het maken van een afweging om wel of niet in zee te gaan met een aanbieder? Informeren zegt niets over of de consument snapt waar hij ja tegen zegt, of snapt wat het betekent dat je aan een partij tien jaar van jouw financiële handel en wandel deelt. Een onderzoek naar de wettelijke informatieplicht en de zorgplicht van financiële instellingen is aan te raden.
Toestemming
De AP wijst nog op de toestemming. ‘De toestemming moet ‘vrij’ zijn, de consument mag niet onder druk worden gezet of nadeel ondervinden van een eventuele weigering van toestemming’. Een aantal aanbieders hanteert voor bijzondere persoonsgegevens een makkelijke uitweg: als je deze gegevens niet wilt delen, gebruik onze dienst dan niet. Hoewel partijen gebruikers mogen uitsluiten, is hier frictie te zien tussen rechten van gebruikers en de praktijk.
AP mag wat meer vrijheid nemen
De AP zou over de rechten wat het vertrekpunt van de positie van consumenten mogen nemen. Meerdere aanbieders proberen zich te positioneren als platforms van waaruit je aanvullende diensten kan afnemen. Na het intrekken van toestemming, wat een expliciete handeling is, worden gegevens niet direct verwijderd. Na een, door de organisatie bepaalde periode worden de gegevens verwijderd. Wil een persoon dit eerder voor elkaar hebben, dan zal deze een verzoek tot gegevenswissing moeten indienen. Wanneer via het platform ook andere partijen gegevens van de persoon bezitten, zal een persoon zelf een verzoek bi die partijen moeten indienen. Logischerwijs ontstaat een ketenverantwoordelijkheid waarbij de dienstverlener een actievere rol zal moeten spelen bij het uitoefenen van iemands rechten. Mogelijk is de AP huiverig voor een uitleg die mogelijk te normatief wordt gezien, maar nu laat de AP een kans liggen om organisaties te bewegen de wet in het voordeel van consumenten uit te leggen.
Onze conclusie
Het is goed dat de AP actief rekeninginformatiedienstverleners opzoekt en ze wijst op de AVG. Maar de AP lijkt vriendelijke start-ups aan te spreken, niet professionele partijen die van data hun business model maken. De AP had veel meer ruimte kunnen en moeten nemen om de AVG ten gunste van consumenten uit te leggen. Dat had op tal van plaatsen prima gekund, zonder dat ze haar boekje te buiten zou gaan. We blijven ons afvragen waarom de AP de brief eigenlijk heeft verstuurd…