De bank, big data en het grote ongenoegen

Het heeft iets meer dan een week geduurd, maar de ING heeft zijn plan om banktransactiegegevens van zijn klanten te gaan vermarkten ingetrokken. Waarschijnlijk is uitgesteld een beter woord, gezien de bewoordingen van ING in de brief aan haar klanten. Begin vorige week ontstond veel ophef rondom dit plan. Kort gezegd, kondigde ING aan op basis van de betalingsgegevens van haar klanten gerichte advertenties van derden te gaan sturen of tonen aan diezelfde klanten. Online betalingen, maar ook transacties via een acceptgirokaart, opnames van geld en pintransacties vertellen een bank waar een klant betaalt en aan wie. Welk bedrag een klant bij of aan wie uitgeeft en voor een deel zelfs aan welk product de klant geld uitgeeft. Door deze gegevens te analyseren, kan ING bedrijven gericht benaderen en deze data commercieel aanbieden, zodat deze bedrijven zeer gerichte advertenties, letterlijk een op een, kunnen aanbieden aan mogelijke klanten. Een heilige graal voor adverteerders wordt wel gezegd.

Het aantal negatieve reacties was enorm. Van privé personen tot politici en van consumentenorganisaties tot toezichthouders, iedereen vond er het zijne van en meestal was dit zijne uitzonderlijk negatief. Er werd zelfs geopperd om maar weer contant te gaan betalen. Een stap die net zo onwaarschijnlijk is als dat er geen online aankopen meer zullen plaatsvinden. Het is een gepasseerd station. Maar is al deze ophef nu terecht of moet er op worden afgedongen?

Commercieel gezien is het een briljant idee. Iedere bank zit op een potentieel aan data die ongetwijfeld goed vermarktbaar is. “Iedere klant die wij spraken was enthousiast over het idee” , aldus een hoge ING medewerker op het 8 uur journaal. Nu zijn er vast ook veel voordelen. Gerichte reclame, precies op het moment dat het jou uitkomt. Misschien met een leuke korting van een concurrent van de artikelen die iemand gewend is te kopen. Het bankieren zelf zou goedkoper kunnen worden, omdat de bank op een andere manier geld aan zijn klant verdient. Een bank zit ook in een ideale positie wat financiële informatie betreft. Niemand anders heeft dit op zo’n schaal. En waarom ook niet? Het is ook volkomen normaal om zo geld te verdienen. Google, Facebook, Twitter, direct marketing organisations, etc., zij doen het allemaal. Dankzij een voormalige buurvrouw kwam ik er rond 2000 al achter dat KPN een afdeling had die de NAW gegevens van haar klanten analyseerde en verkocht aan direct marketers en andere geïnteresseerden. Daar klaagde niemand over bij KPN, want vrijwel niemand kende deze bron van de telefoontjes rond etenstijd of folders in de brievenbus. Dus waarom kan de ING geen Facebook of Google doen? De klant als product?

Helaas, aan de reacties te zien sprak de ING vooraf tegen de verkeerde klanten. Er zijn nog wel een aantal andere aspecten waar aan gedacht moet worden voordat dit idee, wellicht, acceptabel wordt.

Website veiligheid

Behalve het feit dat ik niet geïnteresseerd ben om reclames te zien als ik online betaal, dat is zo geef ik toe puur persoonlijk, zijn het niet juist de reclames en banners van derden die de zwakste schakel vormen in een website? Die plek op een website, al die plaatsen waar geklikt moet worden naar de websites (dat hoopt men althans) van derden, waar de originele eigenaar, in dit geval ING, geen controle over heeft? Die plekken op websites die makkelijker hackbaar zijn of manipuleerbaar? Hoe zit dat dan met de beveiliging van ING’s (betalings)website? Weet ING in ieder, individueel geval met wie het zaken doet? Of gaat ING voor het snelle geld? Zo snel, dat er een of twee minder gewenste klanten tussendoor schieten? Kwaad geschied, reputatie verdwenen. Er zo naar kijkend kan een commerciële triomf al gauw veranderen in een grote zorg en een hoofdpijn dossier.

Privacy

Op dit onderwerp ga ik niet eens in. Het CBp bij monde van de heer Kohnstamm heeft al gereageerd. Ik wijs er, nu in de breedste zin,  alleen nog even op, dat het CBp nog steeds geen boete van formaat uit kan delen. Kennelijk vindt de politiek privacy bescherming niet zo heel urgent. In deze context is de vraag hoe het zit met privacy een essentiële.

Spam

Als ik de bovenstaande discussiepunten even parkeer en naar de spamwetgeving kijk, dan komen de plannen van ING in een heel ander daglicht te staan. Als de ING gegevens puur zou verkopen en op basis daarvan stuurt een derde, individuele e-mailberichten aan zijn klanten, dan is dat spam. Het aantal klachten bij de ACM zou snel toenemen. Dit zijn immers ongevraagde elektronische, commerciële berichten, in andere bewoordingen: “spam”. De wijze waarop de reclames door ING zijn aangekondigd, “we houden het in eigen hand”, suggereert dat zij of de berichten zelf gaat versturen, dan wel gaat tonen. Het eerste zou spam zijn. ING stuurt geen reclame voor een eigen product toe en dat is een overtreding van artikel 11.7 Tw. Er is immers geen relatie tussen de ING en het aan de ING klant elektronisch verstuurde product, spam.

De laatste categorie, het tonen van reclames op een website gericht op betaling, geeft aan dat er misschien op een nieuwe manier tegen spam aangekeken moet gaan worden door de wetgever. Voldoet de Richtlijn 2002/58 en met name artikel 13 nog? Ook het tonen van reclame via een elektronische dienst, zeker een precaire als voor online betalingen, kan in hoge mate ongewenst zijn. De vraag is of dit als spam gezien kan worden onder de huidige wetgeving? Als dat niet zo is, kan het wenselijk zijn dit in de toekomst wel te kunnen doen. Dat is aan de wetgever. Wat verwacht ik als ik de website van een bank bezoek? Informatie over die bank, de betalingsproducten die deze bank aanbiedt en andere informatie die van toepassing of belang is voor mijn zakelijk verkeer (met die bank). Maar zeker geen informatie over voetbalschoenen, vliegtickets of concertkaartjes, toevallig omdat ik recentelijk een dergelijk product heb gekocht. (Er is niets zo hinderlijk als een reclame voor een vliegticket naar een bepaalde plaats voor €600,=, terwijl ik drie minuten daarvoor geen enkel ticket goedkoper dan €2.000,= kon vinden. Wat is het effect bij u als u dit overkomt?) Daarnaast hebben banken ook zakelijke klanten. Het betalingsverkeer van deze klanten is ook commercieel zeer aantrekkelijke data (voor concurrenten). Is daar ook over nagedacht?

Big data is de toekomst, maar of dit betekent dat een bank in het Google en Facebook zakelijke model moet stappen? Die diensten zijn gratis, dus als door mee te doen ik voortaan geld voor niets van mijn bank krijg, sta ik vooraan. Dat lijkt mij een redelijke deal. Waar kan ik tekenen? In alle andere gevallen, zou ik zeggen: begin er niet aan. Mijn relatie met mijn bank is gebaseerd op vertrouwen, privacy en veiligheid. Het lijkt er op dat alle drie in de waagschaal staan als mijn bank plannen als deze doorzet. Al mijn geld is al in handen van mijn bank en daar betaal ik voor of zij maakt anderszins gebruik van mijn geld om geld mee te verdienen. Banken kennende, zullen de prijzen voor bankieren vrij snel stijgen voor diegenen die niet mee willen doen aan deze opzet, net als met offline bankieren gebeurde.

Conclusie

Alles overziend, lijkt mij dit opnieuw een idee in de zin van het is technisch mogelijk, er kan veel geld mee verdiend worden, dus laten we dit gaan doen. Het soort beslissing waardoor er tot op heden zo ontzettend veel fout gaat op het gebied van internet veiligheid. Juist banken hebben hier enorm veel last van gehad in de afgelopen jaren van dit soort beslissingen. Kennelijk vindt ING dit voor nu ook. Als ik kijk wat de potentiele problemen zijn die dit voorstel met zich mee kan brengen, zou ik zeggen: doe het niet. In de huidige vorm is het een slecht idee en wellicht wordt er een wet overtreden.


Wout de Natris is consultant bij De Natris Consult. Hij is adviseur spamwetgeving, –bestrijding en internationale samenwerking en cyber security expert.

Over Wout de Natris

Wout de Natris is adviseur/mede-eigenaar MKB Cyber Advies Nederland.


Laatste artikelen