Naar aanleiding van een klacht heeft het College bescherming persoonsgegevens (CBP) een onderzoek ingesteld naar de wijze waarop een landelijk bekende charitatieve stichting en Interpay BankGiroCentrale (Interpay) samenwerken om het adressenbestand van de stichting op te schonen en te actualiseren voor het kunnen versturen van donatieverzoeken. Het CBP komt tot de conclusie dat een dergelijke adrescontrole in strijd is met de sectorbrede gedragscode voor financiële instellingen. Interpay dient haar werkwijze daarom aan te passen.
Prijs vergelijk ADSL, kabel, glasvezel aanbieders en bespaar geld door over te stappen!
Interpay beschikt over de naam- en adresgegevens van cliënten van banken ten behoeve van de afwikkeling van het betalingsverkeer. Interpay is door de aangesloten banken gemachtigd om namens hen deze gegevens op verzoek van cliënten van andere banken te verstrekken voor verificatie- en/of reconstructiedoeleinden bij de uitvoering van een betalingsopdracht. Deze gegevens werden echter ook gebruikt voor commerciële adrescontrole: het op systematische wijze opschonen en actualiseren van adressenbestanden van derden zoals de stichting. Hiertoe wordt een overeenkomst gesloten tussen de partij die adrescontrole wenst, een bij Interpay aangesloten bank en Interpay zelf.
De betreffende charitatieve stichting had een dergelijke overeenkomst gesloten met haar bank en Interpay. De stichting kon volgens de overeenkomst van alle personen die tot drie jaar geleden geld hadden gedoneerd, op basis van het bankrekeningnummer recente naam- en adresgegevens opvragen bij Interpay. Op grond van de Gedragscode verwerking persoonsgegevens financiële instellingen van de Nederlandse vereniging van banken en het verbond van verzekeraars (2003) is het CBP van oordeel dat deze systematische controle van een adressenbestand niet kon plaatsvinden in het kader van de afwikkeling van het betalingsverkeer. Tevens mag Interpay op grond van deze gedragscode geen gegevens namens de financiële instelling waarvan klager cliënt is, aan de stichting verstrekken voor direct-marketingdoeleinden, aangezien de stichting geen onderdeel is van het betreffende financiële concern.
Over gedragscodes
Organisaties die een bepaalde sector vertegenwoordigen, kunnen voor hun leden een gedragscode vaststellen. In de gedragscode wordt aangegeven hoe die leden met persoonsgegevens zullen omgaan. Er bestaat geen verplichting tot het vaststellen van een gedragscode. Het CBP kan op verzoek van de organisaties de ontwerpgedragscode toetsen en verklaren dat deze voldoet aan de WBP. De verklaring van het CBP is ten hoogste vijf jaar geldig.
Gedragscodes. Bescherming van persoonsgegevens door zelfregulering (CBP)
Volledige uitspraak CBP