College Bescherming Persoonsgegevens
23 september 2004
Adrescontrole voor direct marketing door Interpay in strijd met
gedragscode banken
Naar aanleiding van een klacht heeft het College bescherming
persoonsgegevens (CBP) een onderzoek ingesteld naar de wijze waarop
een landelijk bekende charitatieve stichting en Interpay
BankGiroCentrale (Interpay) samenwerken om het adressenbestand van de
stichting op te schonen en te actualiseren voor het kunnen versturen
van donatieverzoeken. Het CBP komt tot de conclusie dat een dergelijke
adrescontrole in strijd is met de sectorbrede gedragscode voor
financiële instellingen. Interpay dient haar werkwijze daarom aan te
passen.
Interpay beschikt over de naam- en adresgegevens van cliënten van
banken ten behoeve van de afwikkeling van het betalingsverkeer.
Interpay is door de aangesloten banken gemachtigd om namens hen deze
gegevens op verzoek van cliënten van andere banken te verstrekken voor
verificatie- en/of reconstructiedoeleinden bij de uitvoering van een
betalingsopdracht. Deze gegevens werden echter ook gebruikt voor
commerciële adrescontrole: het op systematische wijze opschonen en
actualiseren van adressenbestanden van derden zoals de stichting.
Hiertoe wordt een overeenkomst gesloten tussen de partij die
adrescontrole wenst, een bij Interpay aangesloten bank en Interpay
zelf.
De betreffende charitatieve stichting had een dergelijke overeenkomst
gesloten met haar bank en Interpay. De stichting kon volgens de
overeenkomst van alle personen die tot drie jaar geleden geld hadden
gedoneerd, op basis van het bankrekeningnummer recente naam- en
adresgegevens opvragen bij Interpay. Op grond van de Gedragscode
verwerking persoonsgegevens financiële instellingen van de Nederlandse
vereniging van banken en het verbond van verzekeraars (2003) is het
CBP van oordeel dat deze systematische controle van een
adressenbestand niet kon plaatsvinden in het kader van de afwikkeling
van het betalingsverkeer. Tevens mag Interpay op grond van deze
gedragscode geen gegevens namens de financiële instelling waarvan
klager cliënt is, aan de stichting verstrekken voor
direct-marketingdoeleinden, aangezien de stichting geen onderdeel is
van het betreffende financiële concern.
Over gedragscodes
Organisaties die een bepaalde sector vertegenwoordigen, kunnen voor
hun leden een gedragscode vaststellen. In de gedragscode wordt
aangegeven hoe die leden met persoonsgegevens zullen omgaan. Er
bestaat geen verplichting tot het vaststellen van een gedragscode. Het
CBP kan op verzoek van de organisaties de ontwerpgedragscode toetsen
en verklaren dat deze voldoet aan de WBP. De verklaring van het CBP is
ten hoogste vijf jaar geldig. Meer informatie over gedragscodes is te
vinden in de brochure Gedragscodes. Bescherming van persoonsgegevens
door zelfregulering.
Over het CBP
Het College bescherming persoonsgegevens (CBP) houdt -onder de Wet
bescherming persoonsgegevens (WBP)- toezicht op de naleving van wetten
die het gebruik van persoonsgegevens regelen. Bij het CBP moet het
gebruik van persoonsgegevens worden gemeld, tenzij hiervoor een
vrijstelling geldt.
Het CBP adviseert de regering en organisaties over de bescherming van
persoonsgegevens en onderwerpen die daarmee samenhangen. Het CBP
toetst gedragscodes en bemiddelt in geschillen tussen burgers en
gebruikers van persoonsgegevens. Op eigen initiatief of op verzoek van
een belanghebbende kan het CBP onderzoeken of de manier waarop
persoonsgegevens in een bepaalde situatie zijn gebruikt, in
overeenstemming is met de wet en daaraan zonodig gevolgen verbinden.
Voor in gebreke blijven bij de melding kan een boete worden opgelegd.
Bij overtreding van de wet of daarop gebaseerde regelingen kan het CBP
overgaan tot bestuursdwang of een dwangsom opleggen.
Lees de volledige uitspraak (pdf, 20 K)