Banken gaan volgens de Europees toezichthouder voor gegevensbescherming, Peter Hustinx, veel te lichtvaardig om met de wettelijke verplichting om klantgegevens te beschermen.

Dat schrijft het Financieele Dagblad dinsdag. Hustinx reageert met zijn uitspraken op de plannen van ING om klantengegevens door te verkopen, en de Rabobank, die betaaldata wil gaan analyseren.

Bedrijven en instellingen mogen volgens de wet, gebaseerd op een EU-richtlijn, alleen dit soort gegevens verwerken als zij daarvoor ondubbelzinnig toestemming krijgen van de klant. Volgens Hustinx, hoofd van de European Data Protection Supervisor (EDPS), wordt daar soms veel te makkelijk mee omgegaan.

Niet fair

Bovendien is er geen toestemming nodig wanneer er een 'gerechtvaardigd belang' is, of een contractuele noodzaak. Zo heeft BNP Paribas in België de algemene voorwaarden aangepast: wanneer een klant daarmee akkoord gaat, mag de bank de gegevens aan derden doorspelen.

Dat is volgens Hustinx "niet fair", en hij zegt "te willen weten wat ze allemaal zonder toestemming doen en wat ze onder een contract voor een gewone bankrekening noodzakelijk vinden."

Verantwoordingsplicht

De toezichthouder vindt dat de zakelijke afwegingen beter moeten worden afgezet tegen de verantwoordingsplicht, en het gebruik van de gegevens moet achteraf ook verantwoord kunnen worden.

Hij waarschuwt bovendien dat de regels voor banken waarschijnlijk alleen maar strenger worden: de huidige regels stammen uit de jaren negentig. Nieuwe privacyregels zijn al goedgekeurd door het Europees Parlement, en liggen nu bij de Europese ministers.