ING moet inzage geven in afspraken die de bank met Google heeft gemaakt over Google Pay. Dat heeft de rechtbank Amsterdam op 16 juli bepaald in een zaak die was aangespannen door de Consumentenbond en Stichting Benadeelden in Actie. De twee organisaties maken zich zorgen over de privacy van ING-klanten die contactloos betalen via een Android-telefoon. Zij willen onder meer weten welke gegevens bij Google terechtkomen, waarvoor die informatie kan worden gebruikt en welke beperkingen ING met het technologiebedrijf heeft afgesproken.
De uitspraak betekent niet dat de rechter heeft vastgesteld dat ING of Google de privacywet heeft overtreden. Het gaat voorlopig alleen om transparantie. De consumentenorganisaties mogen de gemaakte afspraken inzien en kunnen daarna bepalen of verdere stappen nodig zijn.
Volgens de
Consumentenbond biedt ING sinds september 2024 geen eigen betaalapp meer aan waarmee Android-gebruikers contactloos kunnen betalen. Klanten die hun Android-telefoon voor betalingen willen gebruiken, komen daardoor bij Google Pay terecht.
Een betaling bevat veel informatie
Bij digitaal betalen wordt meer informatie verwerkt dan alleen het aankoopbedrag. Ook het tijdstip, de winkel, het gebruikte apparaat en technische gegevens over de transactie kunnen een rol spelen.
Afzonderlijk zegt één betaling misschien weinig. Een lange reeks transacties kan echter een uitgebreid beeld geven van iemands leven. Uit betaalgedrag kan mogelijk worden afgeleid waar iemand boodschappen doet, welke abonnementen hij heeft, hoe vaak hij reist en aan welke diensten hij geld uitgeeft.
De Consumentenbond en Stichting Benadeelden in Actie willen weten in hoeverre Google toegang heeft tot dergelijke informatie en of gegevens voor andere diensten mogen worden gebruikt.
Dat deze organisaties zorgen hebben, is nog geen bewijs dat Google daadwerkelijk volledige betaalprofielen van ING-klanten maakt. Daarvoor moeten eerst de afspraken en technische werkwijze worden onderzocht.
ING verwees naar gemaakte afspraken
ING stelde volgens de Consumentenbond dat de bank goede afspraken met Google had gemaakt over de bescherming van klantgegevens. De bank wilde de inhoud daarvan echter niet volledig met de organisaties delen.
Daarop stapten de Consumentenbond en Stichting Benadeelden in Actie naar de rechter. Die heeft nu bepaald dat ING de gevraagde inzage wel moet geven.
De documenten worden vervolgens onderzocht. Daarna kunnen de organisaties concluderen dat de bescherming voldoende is, aanvullende maatregelen verlangen of besluiten opnieuw juridische stappen te zetten.
Er is dus nog geen definitief oordeel over de inhoud van de afspraken.
Wat verandert er voor klanten?
Voor ING-klanten verandert door de uitspraak niet onmiddellijk iets. Google Pay blijft beschikbaar en er is geen schadevergoeding aangekondigd. Klanten hoeven ook geen formulier in te vullen of zich bij een claim aan te sluiten.
De uitspraak zorgt er vooral voor dat de afspraken niet volledig buiten het zicht van belangenorganisaties blijven.
Wie Google Pay gebruikt, kan dat voorlopig blijven doen. Wie liever niet via Google betaalt, kan de fysieke betaalpas gebruiken. Op veel plaatsen blijft ook contant betalen mogelijk, al wordt dat niet overal even gemakkelijk gemaakt.
Gebruikers kunnen daarnaast de privacy- en personalisatie-instellingen van hun Google-account controleren. Het uitschakelen van advertentiepersonalisatie betekent overigens niet dat alle gegevensverwerking stopt.
Een betaaldienst moet bepaalde informatie verwerken om betalingen uit te voeren, fraude op te sporen en aan wettelijke verplichtingen te voldoen. De belangrijkste vraag is welke gegevens daarnaast worden verzameld, hoelang ze worden bewaard en of ze met andere diensten worden gecombineerd.
Waarom deze zaak breder belangrijk is
ING is niet de enige bank die voor mobiele betaaldiensten samenwerkt met een groot technologiebedrijf.
Banken gebruiken steeds vaker infrastructuur van Apple, Google en andere externe partijen.
Dat levert gemak op. Een telefoon kan de bankpas vervangen en betalingen kunnen snel worden uitgevoerd. Tegelijkertijd wordt de keten achter een alledaagse aankoop langer. Naast de bank en winkel kan ook een technologiebedrijf technisch bij de transactie betrokken zijn.
Voor consumenten is het vaak moeilijk om te begrijpen welke partij welk deel van de informatie ontvangt. Privacyvoorwaarden zijn lang en juridisch ingewikkeld. Bovendien kunnen afspraken tussen bedrijven vertrouwelijk blijven, waardoor de klant alleen algemene uitleg ziet.
Juist daarom is de uitspraak relevant. De rechter zegt niet dat samenwerken met Google verboden is, maar dwingt wel meer openheid af tegenover de organisaties die de zaak aanspanden.
Geen reden voor paniek, wel voor aandacht
Op basis van deze uitspraak kan niet worden geconcludeerd dat iedere gebruiker van Google Pay direct gevaar loopt. Er is evenmin vastgesteld dat geld of rekeninggegevens onveilig zijn.
Wel is het verstandig om bewust te kijken welke betaalmethode je gebruikt. Controleer de instellingen van je Google-account en volg de uitkomsten van het onderzoek naar de afspraken.
Wie grote bezwaren heeft tegen de rol van Google kan voorlopig de fysieke betaalpas gebruiken. Wie vooral gemak belangrijk vindt, kan Google Pay blijven gebruiken en later opnieuw beoordelen wat de openbaar gemaakte informatie betekent.
De belangrijkste uitkomst is op dit moment dan ook geen schadevergoeding of verbod, maar transparantie. Pas na het onderzoek kan duidelijk worden of ING of Google werkelijk iets aan de privacybescherming moet veranderen.