De PSD2 verplicht banken gegevens te delen (op basis van artikel 66 PSD2 na de uitdrukkelijke toestemming uit artikel 94 lid 2 PSD2). Omdat banken alles moeten delen, leveren ze ook gegevens mee die aan te duiden zijn als bijzondere persoonsgegevens. Bijzondere persoonsgegevens (art. 9 AVG) vragen om extra bescherming en mogen alleen onder in de AVG artikel 9 lid 2 opgenomen voorwaarden verwerkt worden. Welke transactiegegevens ook bijzondere persoonsgegevens kunnen zijn is de ene keer eenvoudig vast te stellen, denk aan het lidmaatschap van een vakvereniging of politieke partij: contributie = lidmaatschap. Een andere keer geven transactiedata geen directe informatie, maar kunnen heel eenvoudig een indicatie geven waarmee simpele profilering plaats kan vinden. Denk bijvoorbeeld aan de hoogte en frequentie van afrekeningen bij een apotheek, hoe snel je door je eigen risico heen bent of het lidmaatschap van een patiëntenorganisatie.
Het verwerken (in dit geval, verstrekken door de bank en vervolgens opslaan door de AIPS) mag alleen als het verbod op de verwerking (art. 9 lid 1 AVG) niet meer van toepassing is door een van de in art. 9 lid 2 genoemde voorwaarden. Maar laten we eerlijk zijn: alleen artikel 9 lid 2 sub 1 (uitdrukkelijke toestemming van de persoon) of sub d (gegevens nodig voor de betreffende organisatie) zullen veel voorkomen; waarbij je je nog moet afvragen hoe je om moet gaan met het verbod op de verstrekking, zie de laatste zin van sub d. Een eerste vraag is dus al, mag een bank die gegevens wel verstrekken? Ja, is het antwoord, want dat moet op basis van de wettelijke verplichting. Nee, zou je denken, want omdat geen maatregelen worden afgedwongen zoals filtering van informatie is het risico op ongewenst delen veel te groot. Hier botsen de rechtsgebieden en ik zou denken: laat de rechter hier naar kijken.
Het risico op onrechtmatige verwerking van bijzondere persoonsgegevens wordt daarmee levensgroot. Waarborgen worden de AISP gelegd, maar omdat dit thema geen of nauwelijks aandacht heeft gekregen is maar de vraag of AISP’s maatregelen treffen of hebben getroffen zoals het filteren van deze gegevens. Daarbij komt dat verdere verwerkingen onder de AVG vallen, wat – laten we wel wezen – eufemistisch een wet is waarbinnen veel mogelijk is.
Een oplossing: filteren van gegevens
De meest simpele oplossing is het kunnen filteren van de gegevens, om te voorkomen dat gegevens verstrekt en vervolgens verwerkt worden. Kunnen, want het verbod tot verwerking kan immers worden opgeheven. Een filter zou weinig meer hoeven zijn dan een lijst met te filteren rekeninggegevens, en een query die deze rekeninggegevens verwijdert of verhaspelt. De techniek is het probleem niet. Maar ook al wil een AISP willen filteren, hoe zouden ze dit moeten doen? Maar hoe weet je welke rekeninggegevens je moet filteren?
Welke informatie filteren?
Je wilt rekeninggegevens kunnen filteren van organisaties, waarvan de transactiedata als bijzondere persoonsgegevens aangemerkt moeten worden. Het gaat dan om transacties tussen de organisatie en de persoon. Het gaat om vakverenigingen, politieke partijen waarbij een betaling vrijwel altijd gelijk staat aan contributie en daarmee lidmaatschap. Maar, ik zet hier ook organisatie in de gezondheidszorg bij omdat je weliswaar niet meteen ziet wat iemand heeft, maar in dit geval transacties op zich al veel onthullen. Organisaties worden gerangschikt volgens de Standaard Bedrijfsindeling (SBI), die door het CBS wordt omschreven als “een hiërarchische indeling van economische activiteiten die het CBS onder meer gebruikt om bedrijfseenheden in te delen naar hun hoofdactiviteit.” Het interessante is dat de SBI vijf niveaus kent en eigenlijk een internationale standaard is: “De eerste vier cijfers van de SBI zijn, op enkele uitzonderingen na, gelijk aan de Europese NACE Rev 2.” Dit betekent dat een Nederlandse oplossing, ook kan werken in andere Europese landen!
Als we deze twee zaken koppelen dan kom ik tot het volgende lijstje van categorieën organisaties:
Politieke opvattingen
- 9492 Politieke organisaties
- 7220? Speur- en ontwikkelingswerk op het gebied van de maatschappij- en geesteswetenschappen [geldt voor beperkt aantal partijen waarschijnlijk]
Religieuze of levensbeschouwelijke overtuigingen
- 94911 Religieuze organisaties
- 94919 Beleven, verdiepen en/of verbreiden van een levensbeschouwing niet zijnde een religie
- 85599? Studiebegeleiding, vorming en onderwijs (rest) [af te leiden uit bepaalde trainingen en cursussen]
Lidmaatschap van een vakbond
- 9411? Bedrijfs- en werkgeversorganisaties
- 9420 Werknemersorganisaties
Gegevens over gezondheid
- 86 Gezondheidszorg; Gezondheidszorg Deze afdeling omvat de groepen: 861 Ziekenhuizen 862 Medische en tandheelkundige praktijken 869 paramedische praktijken en overige ambulante gezondheidszorg
- 87 Verpleging, verzorging en begeleiding met overnachting; Verpleging, verzorging en begeleiding met overnachting. Deze afdeling omvat de groepen: 871 Verpleeghuizen 872 Huizen en dagverblijven voor verstandelijk gehandicapten en psychiatrische cliënten 873 Huizen en dagverblijven voor niet-verstandelijk gehandicapten en verzorgingshuizen 879 Jeugdzorg en maatschappelijke opvang met overnachting
- 4773 Apotheken
Genetische gegevens
- Niet uit transactiedata af te leiden
Biometrische gegevens
- Niet uit transactiedata af te leiden
Ras of etnische afkomst
- Af te leiden uit gedrag zoals zender/ontvanger van bedragen, betalingen aan bepaalde organisaties
Gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid
- Af te leiden uit gedrag zoals zender/ontvanger van bedragen, betalingen aan bepaalde organisaties
Omdat organisaties ingeschreven moeten staan bij de Kamer van Koophandel, ben ik met deze codes naar de Kamer van Koophandel gegaan en heb een adressenbestand aangekocht. Ik ontving na betaling van iets meer dan €100 een adressenlijst met daarop ruim 2400 organisaties. De rekeningnummers van deze organisaties zouden als eerste gefilterd moeten worden. wordt vervolgd.