info@pellicaan.nl
NLEN

Is er nog privacy onder PSD2?

1 november 2018

Zowel consumenten als ondernemers en organisaties kunnen binnenkort gebruik maken van nieuwe diensten door betaaldienstverleners. Die nieuwe diensten zijn gebaseerd op een Europese regeling die meestal ‘PSD2’ wordt genoemd. Het zijn:

  • betaalinitiatiediensten
  • rekeninginformatiediensten

De betaalinitiatiedienst betreft kort gezegd de mogelijkheid voor een rekeninghouder om via een ander bedrijf (de betaaldienstverlener) aan de eigen bank opdracht te geven een betaling uit te voeren. Bij rekeninginformatiediensten krijgt de betaaldienstverlener toestemming van de rekeninghouder om alle rekeninggegevens bij de bank op te halen en vervolgens te gebruiken, bijvoorbeeld voor een huishoudboekje van een consument of een financieel overzicht voor een kleine ondernemer.

Toegang tot persoonsgegevens

Bij beide nieuwe diensten is vereist dat de rekeninghouder toestemming heeft gegeven aan de aanbieder van de nieuwe diensten (betaaldienstverlener). Dat is belangrijk, want de betaaldienstverlener krijgt op grond van de verleende toestemming toegang tot de bankrekening. Daarmee krijgt de dienstverlener toegang tot vertrouwelijke gegevens, die voor een groot deel persoonsgegevens zullen zijn. Bij betaalinitiatiedienstverlening zal die toegang beperkt zijn tot een inzage die nodig is om te zien of er voldoende saldo is en wordt kennis genomen van de wederpartij van de specifieke transactie.

De toegang gaat bij rekeninginformatiedienstverlening veel verder. Het betreft dan toegang over een langere periode, waarbij de dienstverlener naast informatie over het betaalgedrag van de rekeninghouder ook de beschikking krijgt over persoonsgegevens van derden, te weten de wederpartijen bij transacties die over de rekening lopen.

Voorbeeld: als een kleine medische dienstverlener gebruik maakt van rekeninginformatiediensten en betaling van zijn patiënten op de rekening ontvangt, ziet de rekeninginformatiedienstverlener wie de patiënten zijn en hoe vaak ze bij de medische dienstverlener komen.

Uitleg Autoriteit Persoonsgegevens

Op de nieuwe dienstverlening is de Algemene Verordening Gegevensbescherming (AVG), de nieuwe Europese privacywet, van toepassing. Onlangs heeft de Autoriteit Persoonsgegevens (AP) in een nieuwsbericht uitleg gegevens over het begrip “uiteindelijke toestemming” in PSD2. Onder PSD2 is een vereiste dat betaaldienstverleners alleen toegang mogen krijgen tot persoonsgegevens van natuurlijke personen als zij hiervoor uitdrukkelijke toestemming hebben gekregen van die persoon.

De AP geeft aan dat de betaaldienstverlenr apart toestemming moet vragen voor toegang tot de persoonsgegevens van de rekeninghouder. Apart betekent hier: afzonderlijk van de andere onderdelen van de overeenkomst die de betaaldienstverlener met de rekeninghouder sluit.

Verder schrijft de AP dat de manier waarop uitdrukkelijke toestemming wordt gevraagd vrij moet zijn, ondubbelzinnig, geïnformeerd en specifiek. De toestemming moet gemakkelijk weer kunnen worden ingetrokken. De rekeninghouder  mag bijvoorbeeld niet onder druk worden gezet om toestemming te geven. En toestemming moet volgens de AP een actieve handeling zijn. Stilzwijgende toestemming of voor-aangevinkte vakjes zijn niet toegestaan. Een betaaldienstverlener moet de rekeninghouder ook goed informeren over welke gegevens worden verzameld en waarvoor ze worden gebruikt.

Lichtere eisen aan toestemming bij rekeninginformatiedienstverlening

Opvallend is dat het vereiste van uitdrukkelijke toestemming volgens de AP niet geldt voor het aanbieden van een “rekeninginformatiedienst”, terwijl de rekeninginformatiedienstverlener door middel van de rekeninginformatiedienst niet alleen vertrouwelijke persoonsgegevens van de rekeninghouder zelf verkrijgt, maar ook van de wederpartijen bij betalingstransacties, waartoe ook natuurlijke personen kunnen behoren. Op grond waarvan voor rekeninginformatiedienstverlening een lichtere eis geldt, wordt door de AP niet toegelicht.

Op zich geldt voor de rekeninginformatiedienstverlener dat hij de persoonsgegevens van de rekeninghouder en diens wederpartijen niet mag verwerken voor andere doelen dan het uitvoeren van de rekeninginformatiedienst en dat hij zich moet houden aan de AVG. Als een betaaldienstverlener zich daar niet aan zou houden, kan rekeninginformatiedienstverlening een prachtige bron van informatie opleveren voor ondernemingen die deze dienst aanbieden, te gebruiken voor marketing, kredietbeoordeling en handel in witwasbestrijdingsinformatie.

Het is daarom belangrijk dat adequaat toezicht wordt gehouden op deze betaaldienstverleners. Daarbij verdient aandacht dat ook betaaldienstverleners uit andere EU-landen op grond van een ‘Europees paspoort’ rekeninginformatiediensten in Nederland kunnen aanbieden. Zo maakte kredietbeoordelaar en witwasinformatiedienstverlener Experian medio dit jaar bekend over een buitenlandse PSD2-vergunning te beschikken.

Het zal moeten worden afgewacht welke aanbieders van PSD2 diensten op de Nederlandse markt actief zullen worden en hoe het toezicht op de privacy- en cybersecurity-regels in de praktijk verloopt.

Privacy advies door Pellicaan

Neem voor privacy advies contact op met een van de privacy-advocaten van Pellicaan Advocaten.

Verder lezen bij de AP

AP geeft betaaldienstverleners uitleg over uitdrukkelijke toestemming PSD2, nieuwsbericht 18 oktober 2018

 

Ellen Timmer
Advocaat
Rotterdam
088 627 22 87
Stuur mij een e-mail

Meer actueel

Overname van Strengholt Entertainment B.V. door Venipak

Europese AI-wetgeving weer een stap dichterbij!

Overname EMQ Logistics door Léon Vincent (LVO Group)

Verwarrende rechtspraak rond Pensioenfonds MITT

Participatie Vetipak in ECM Europe B.V.

Internetconsultatie wetsvoorstel invoering meldplicht arbeidsongevallen en vergewisplichten uitleners

DisclaimerAlgemene voorwaardenPrivacystatement

Enflow