Implementatiebesluit PSD2 | (persoons)gegevens van derden op de rekening van betaaldienstgebruiker zijn vergeten

Op 27 september jl. is de internetconsultatie over de Nederlandse implementatie van PSD2 gestart. De inleiding luidt:

Implementatiebesluit herziene richtlijn betaaldiensten. Dit besluit implementeert richtlijn nr. 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG (hierna: PSD II of de richtlijn).

De conceptregeling is hier te vinden.

Het gaat niet alleen om de gegevens van de rekeninghouder, maar ook om gegevens van derden

Al eerder signaleerde ik dat een belangrijke issue bij PSD2 is dat in de betaalrekeninggegevens van een consument of organisatie niet alleen zijn eigen gegevens zijn opgenomen, maar ook vertrouwelijke gegevens van derden (hierna: “derdengegevens”), zoals bij een consument:

  • het familielid aan wie een schenking wordt gedaan,
  • de privépersoon van wie een woning wordt gehuurd en
  • de vriend aan wie maandelijks een schuld wordt afgelost.

Nu zijn die derdengegevens alleen bekend bij de bank, die zware verplichtingen heeft op het gebied van beveiliging en verstrekking aan anderen. De bedoeling van PSD2 is dat fintech bedrijven toegang tot de rekeninggegevens van degenen die toestemming geven (betaaldienstgebruiker) krijgen. Dat betreft zowel de internetgiganten zoals Google en Facebook (lees de kritiek van Jacobs!), als kleine fintech bedrijven, en betekent dat de rekeninggegevens bij een allerlei ongewenste derden terecht kunnen komen.

Het is leuk dat de regelgever voorschrijft dat de fintech bedrijven de informatie alleen voor de specifieke dienst mogen gebruiken, maar wie controleert of dit werkelijk gebeurt?

Uit het ter visie gelegde concept blijkt niet dat de ontwerpers zich er van bewust zijn dat sprake is van derdengegevens en dat die derden mogelijk bezwaar hebben tegen verwerking van hun gegevens door bijvoorbeeld Facebook. De instemming van de betaaldienstgebruiker komt wel uitgebreid aan de orde, bijvoorbeeld hier (pagina 16/17 toelichting):

3.3 Uitdrukkelijke instemming bij toegang tot betaalrekeningen
Om toegang te krijgen tot de betaalrekening hebben derde partijen uitdrukkelijke toestemming (instemming) nodig. Deze uitdrukkelijke toestemming vindt plaats tussen de betaaldienstgebruiker en de betaalinitiatie- of rekeninginformatiedienstverlener. De rekeninghoudende betaaldienstverlener staat hier buiten en kan dus ook geen beperkingen opleggen aan de vorm of de inhoud van de gegeven toestemming. Steeds moet het voor de betaaldienstgebruiker duidelijk zijn dat de dienst waarvoor hij toestemming geeft, wordt verleend door de betaalinitiatie- of rekeninginformatiedienstverlener en niet door de rekeninghoudende betaaldienstverlener (bank).
Er is geen manier voorgeschreven waarop deze toestemming moet worden verleend. Voor de rekeninghoudende betaaldienstverlener mag er geen twijfel bestaan over de uitdrukkelijke instemming, maar op grond van de richtlijn is hij niet verplicht om de inhoud van deze expliciete instemming te controleren. Uiteraard verschaft de rekeninghoudende betaaldienstverlener uitsluitend de informatie die op basis van de verkregen toestemming wordt verzocht door de betaalinitiatie- of rekeninginformatiedienst.

Alleen de betaaldienstgebruiker komt hier aan bod. Niet de privépersonen en organisaties wiens derdengegevens zijn opgenomen in de rekeninggegevens van de betaaldienstgebruiker.

Het is leuk dat de betaaldienstgebruiker diensten wil afnemen van fintech bedrijven, maar wat gebeurt er met de vertrouwelijke gegevens van de hiervoor genoemde derden? Het lijkt me dat de gegevens van derden-privépersonen op grond van de privacywetgeving niet verstrekt mogen worden aan het fintech bedrijf als er geen toestemming is van die derden-privépersonen.

Verbod op verstrekken derdengegevens | opt-in

Mij lijkt dat moet worden voorgeschreven dat banken geen derdengegevens aan fintech bedrijven mogen verstrekken, tenzij de bewuste derden hebben meegedeeld aan de bank daartegen geen bezwaar te hebben.

Voorbeeld: de gegevens inzake het bedrag van de schenking mogen wel worden verstrekt, niet de naam en het rekeningnummer van de begunstigde.

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/ ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce en getagged met , , , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s