De gegevens van andere rekeninghouders onder PSD2 | rekeninginformatiediensten

Al eerder schreef ik over de vraag of de rechten van rekeninghouders onder PSD2 wel goed beschermd zijn als andere rekeninghouders rekeninginformatiediensten (‘RID’) inkopen. Voor dit thema is opvallend weinig aandacht in de artikelen die over RID worden geschreven.

De meeste aandacht gaat uit naar de rekeninghouder die met een RID-leverancier zaken doet (de RID-klant) en naar de eisen waarin RID-leveranciers moeten voldoen. Ook valt op dat er veel over de positie van consumenten als RID-klant wordt geschreven en geen aandacht is voor zzp’ers en kleine en middelgrote organisaties en ondernemingen als klant van RID.

Advies Autoriteit Persoonsgegevens

Op 12 januari jl. maakte de Autoriteit Persoonsgegevens een kritisch advies over de implementatieregels bekend. Onder meer schrijft de AP dat de toestemming van een klant van een RID-leverancier niet betekent dat persoonsgegevens van derden (als onderdeel van de RID gegevens van de klant) kunnen worden verwerkt:

2 De uitleg van “uitdrukkelijke toestemming” voor de verwerking van persoonsgegevens

Ter implementatie van artikel 94, tweede lid, van PSD2 is in het voorgestelde artikel 26e van het Bpr bepaald dat een betalingsdienstverlener, met uitzondering van de betalingsdienstverlener die uitsluitend rekeninginformatiediensten verleent, [13] alleen met de uitdrukkelijke toestemming van de betalingsdienstgebruiker toegang tot diens persoonsgegevens verkrijgt, om deze gegevens te verwerken en te bewaren, voor zover noodzakelijk voor het verlenen van betalingsdiensten.

Wellicht ten overvloede – maar bepaald niet onbelangrijk – merkt de AP op dat de gegeven toestemming alleen betrekking kan hebben op persoonsgegevens van degene die toestemming heeft gegeven. Betalingsgegevens die persoonsgegevens bevatten van derden (bijvoorbeeld degene aan wie een geldbedrag wordt overgemaakt) kunnen dan ook niet enkel op basis van deze toestemming worden verwerkt door betalingsdienstaanbieders.

[13] De tekst van de ontwerp-AMvB verwijst naar de betalingsdiensten, vermeld onder 8 van de bijlage bij PSD2. Dit betreft rekeninginformatiediensten. Artikel 94 maakt onderdeel uit van titel IV van PSD2. Gelet op artikel 33, tweede lid, van PSD2 – waarin de toepassing van titel IV wordt uitgesloten – is artikel 94 niet van toepassing op rekeninginformatiediensten.

Na een juridische verhandeling, waaruit ik niet kan afleiden wat de rechten van de ‘derden’ zijn wordt geconcludeerd:

De conclusie van het voorgaande is dat artikel 94, tweede lid, van PSD2 geen ruimte biedt voor de in de ontwerp-AMvB voorgestelde implementatie van die bepaling. Deze implementatie van PSD2 leidt op het punt van gegevensbescherming niet tot het met de richtlijn beoogde resultaat. De AP adviseert u de implementatiewetgeving op dit punt aan te passen.

Ik ben benieuwd waar het met PSD2 en de RID naar toe gaat.

Meer informatie:

Autoriteit Persoonsgegevens 12 januari 2018:

Recente andere berichten over PSD2:

Oude berichten op dit blog:

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/ ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Financieel recht, onder meer Wft, Wtt, ICT, privacy, e-commerce en getagged met , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s