PSD2: afscherming van gegevens van derden?

Bij de internetconsultatie over het implementatiebesluit PSD2 heb ik aandacht gevraagd voor de gegevens van derden die in de bankgegevens zijn opgenomen van degene die toestemming geeft. Dat dit een serieus punt is, waar financiële instellingen aandacht aan moeten geven, is inmiddels verder doorgedrongen.

Simon Hania schrijft in een artikel voor Netkwesties onder de titel “Data-overdracht wordt veel te gemakkelijk doorgevoerd. Bankgegevens niet veilig na invoering PSD2” dat onvoldoende is nagedacht over de privacy van derden. Hij schrijft onder meer:

Toch zie ik nog twee problemen met PSD2:

[1] Het kan je overkomen dat jouw gegevens bij een voor jou onbekend bedrijf terechtkomen.
[2] Het toezicht is gefragmenteerd en onvoldoende slagvaardig op pad gestuurd.

Datazeggenschap ontnomen

Bedenk dat er, net als wanneer je iemand belt, bij een banktransactie altijd twee partijen betrokken zijn. De ene kant maakt geld over naar de andere. Als een van beide partijen ervoor kiest om het toe te staan dat zijn gegevens naar een nieuwe innovatieve dienstverlener gaat, gaan de gegevens van de andere partij ook mee.
De bank mag dat niet tegenhouden volgens PSD2. Het kan echter heel goed zijn dat die andere partij in de transactie helemaal niet wil dat zijn gegevens bij die andere dienstverlener terechtkomen. Hij wordt ook niet geïnformeerd. Bedenk dat betalingen best gevoelig kunnen zijn en zaken kunnen onthullen die je liever in beperkte kring houdt. Dubbel fout dus, dit: je weet het niet en kunt er niks tegen doen.

Het lijkt me simpel: banken zullen de gegevens van derden moeten afschermen, tenzij er toestemming is gegeven. Dit is in overeenstemming met de (huidige) Wet bescherming persoonsgegevens en de (toekomstige) Algemene Verordening Gegevensbescherming.

PSD2 op Twitter

Simon Hania:

En zie ook:

ABN Amro heeft nog op zijn website staan dat ze persoonsgegevens van derden zonder toestemming zullen delen, maar ze denken er over na:


Aanvulling 5 december 2017

Hania is nog steeds met het onderwerp bezig.

Volgens Peter Verhaar is de positie van de wederpartij van degene die een rekeninginformatiedienstverlener inhuurt bewust niet aan de orde gekomen.

Wordt vervolgd!


Aanvulling 6 december 2017
Ik heb een conceptbrief bedacht. Kijken wat Simon er van vindt.

Aanvullng 8 december 2017
In het FD verscheen het artikel ‘Natuurlijk gaat Facebook zich tussen de banken nestelen’. Het artikel begint sappig met “Fintech is een markt van veel geschreeuw en weinig wol”.
Wat in de marketingwereld al is gebeurd, kan ook in de banksector gaan gebeuren.

Aanvulling 22 december 2017
[1] DNB laat in een nieuwsbericht weten dat op 8 februari 2018 een seminar over PSD2 wordt gehouden met als onderwerpen het vergunningsverleningsproces en het toezicht. Verder laat de Bank weten dat een PSD2-vergunning nog niet kan worden aangevraagd vanwege de vertraging in de wetgeving. Wel zal DNB alvast een inkijkexemplaar van het vergunningsformulier met toelichting aanbieden, zodat belangstellenden een beeld van de eisen voor een vergunningverlening kunnen krijgen en zich kunnen voorbereiden. Voorts wordt melding gemaakt van de Guidelines en Regulatory Technical Standards (RTS), waaraan door de European Banking Authority (EBA) wordt gewerkt, zoals de RTS over Strong Customer Authentication en de RTS Home-Host cooperation under PSD2. De voortgang en status van de Guidelines en RTS’en heeft DNB hier geplaatst.
Uit het bericht en de genoemde pagina blijkt niet op welke wijze rekening gehouden wordt met derdeninformatie in het kader van rekeninginformatiediensten en hoe vergunninghouders aan de eisen van de Algemene Verordening Gegevensbescherming zullen gaan voldoen.

[2] De EBA plaatste op 19 december jl. een bericht over de overgang naar PSD2, “EBA publishes Opinion on the transition from PSD1 to PSD2“. De genoemde opinie is hier te vinden. De overige berichten van EBA voor betaaldienstverleners zijn hier te vinden.

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/ ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Financieel recht, onder meer Wft, Wtt, Grondrechten, rechtsstaat e.d., ICT, privacy, e-commerce en getagged met , , , , , , , , . Maak dit favoriet permalink.

Een reactie op PSD2: afscherming van gegevens van derden?

  1. Erik zegt:

    Wordt het geen tijd om eens een proefproces te voeren?

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s