Soms komt een voorspelling wel heel snel uit. Begin deze maand schreef ik over de risico’s van ‘verplicht’ pinnen. Ik hintte op de mogelijkheid dat banken informatie over je pingedrag zouden kunnen verkopen aan derden. Tot mijn stomme verbazing blijkt dat Equens dat nu inderdaad wil gaan doen!

Equens is een internationaal bedrijf (met ABN Amro, ING en Rabobank als Nederlandse aandeelhouders) dat in Nederland de pin betalingen verwerkt. Onlangs lanceerde Equens het plan om voor iedere pin transactie de vier cijfers van je postcode te bewaren en te verkopen. Dit is zeer waardevolle informatie. Het geeft inzage in het aankoopgedrag en bestedingspatroon van mensen die in een bepaalde wijk wonen. Gaan ze veel naar de Albert Heijn of liever naar de Jumbo? Tanken ze veel (en rijden ze dus veel met de auto)?

De cijfers van een postcode zijn op zichzelf geen persoonsgegeven. Immers, deze zijn normaal gesproken niet te herleiden tot jou of mij als persoon. Maar dat is lang niet altijd het geval. Iemand uit Sauwerd die in Amsterdam gaat winkelen is zeer waarschijnlijk de enige persoon in heel Amsterdam die pint met een pas waaraan die postcode gekoppeld is. En als deze persoon met het OV vanuit Sauwerd naar Amsterdam is gereisd met een persoonsgebonden OV chipkaart, is zelfs zijn identiteit simpel te achterhalen.

Maar ook zonder mijn identiteit wordt op basis van de wijk waar ik woon een inschatting gemaakt van de persoon die ik ben, en wordt dit profiel gebruikt om mijn gedrag te voorspellen en te beïnvloeden. In dit artikel legt Mireïlle Hildebrandt kort en bondig de risico’s van dergelijke vormen van profiling uit.

Erger is dat dit plan in gaat tegen de gedragscode verwerking persoonsgegevens financiële instellingen die de banken zelf hebben opgesteld. Daarin staat dat

Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.

Het afleiden van een postcode uit een pin transactie is zo’n verdere verwerking van een persoonsgegeven. Maar in geen van de doeleinden die verderop genoemd staan in de gedragscode wordt gerept van het leveren van diensten aan derden.

Tenslotte, en dat moet de banken toch te denken geven, schaadt dit plan het vertrouwen van de klanten in de banken zelf. Financiële gegevens zijn privacy gevoelig. Het is niet de bedoeling dat informatie over ons aankoopgedrag (hoe onschuldig in eerste instantie ook) met derden gedeeld wordt. Klanten gaan er van uit dat de banken dit niet doen. Dit plan laat zien dat wij daar niet zo zeker van kunnen zijn… En waar ligt dan nog de grens?