Al eerder schreef ik over de vraag of de rechten van rekeninghouders onder PSD2 wel goed beschermd zijn als andere rekeninghouders rekeninginformatiediensten (‘RID’) inkopen. Voor dit thema is opvallend weinig aandacht in de artikelen die over RID worden geschreven.

De meeste aandacht gaat uit naar de rekeninghouder die met een RID-leverancier zaken doet (de RID-klant) en naar de eisen waarin RID-leveranciers moeten voldoen. Ook valt op dat er veel over de positie van consumenten als RID-klant wordt geschreven en geen aandacht is voor zzp’ers en kleine en middelgrote organisaties en ondernemingen als klant van RID.

Advies Autoriteit Persoonsgegevens

Op 12 januari jl. maakte de Autoriteit Persoonsgegevens een kritisch advies over de implementatieregels bekend. Onder meer schrijft de AP dat de toestemming van een klant van een RID-leverancier niet betekent dat persoonsgegevens van derden (als onderdeel van de RID gegevens van de klant) kunnen worden verwerkt:

2 De uitleg van “uitdrukkelijke toestemming” voor de verwerking van persoonsgegevens

Ter implementatie van artikel 94, tweede lid, van PSD2 is in het voorgestelde artikel 26e van het Bpr bepaald dat een betalingsdienstverlener, met uitzondering van de betalingsdienstverlener die uitsluitend rekeninginformatiediensten verleent, [13] alleen met de uitdrukkelijke toestemming van de betalingsdienstgebruiker toegang tot diens persoonsgegevens verkrijgt, om deze gegevens te verwerken en te bewaren, voor zover noodzakelijk voor het verlenen van betalingsdiensten.

Wellicht ten overvloede – maar bepaald niet onbelangrijk – merkt de AP op dat de gegeven toestemming alleen betrekking kan hebben op persoonsgegevens van degene die toestemming heeft gegeven. Betalingsgegevens die persoonsgegevens bevatten van derden (bijvoorbeeld degene aan wie een geldbedrag wordt overgemaakt) kunnen dan ook niet enkel op basis van deze toestemming worden verwerkt door betalingsdienstaanbieders.
—
[13] De tekst van de ontwerp-AMvB verwijst naar de betalingsdiensten, vermeld onder 8 van de bijlage bij PSD2. Dit betreft rekeninginformatiediensten. Artikel 94 maakt onderdeel uit van titel IV van PSD2. Gelet op artikel 33, tweede lid, van PSD2 – waarin de toepassing van titel IV wordt uitgesloten – is artikel 94 niet van toepassing op rekeninginformatiediensten.

Na een juridische verhandeling, waaruit ik niet kan afleiden wat de rechten van de ‘derden’ zijn wordt geconcludeerd:

De conclusie van het voorgaande is dat artikel 94, tweede lid, van PSD2 geen ruimte biedt voor de in de ontwerp-AMvB voorgestelde implementatie van die bepaling. Deze implementatie van PSD2 leidt op het punt van gegevensbescherming niet tot het met de richtlijn beoogde resultaat. De AP adviseert u de implementatiewetgeving op dit punt aan te passen.

Ik ben benieuwd waar het met PSD2 en de RID naar toe gaat.

Meer informatie:

Autoriteit Persoonsgegevens 12 januari 2018:

• Bericht: AP adviseert over wetgeving over invoering van richtlijn voor betaaldiensten (PSD2) (html)
• Advies (pdf)

Recente andere berichten over PSD2:

• Consument wil bankgegevens niet delen, behalve met financieel adviseur, Accountancy Van Morgen 22 januari 2018
• ACM’s view on innovation in the payments sector, 19 januari 2018
• Binnenkort mogen bedrijven meekijken op onze rekening, AD 18 januari 2018
• PSD2, wat een Europese blunder! De nieuwe Europese richtlijn voor betaaldiensten PSD2 faciliteert het weglekken van privacygevoelige data, AG Connect 9 januari 2018
• ‘Open banking’: radical shake-up, or a threat to your private data? The Guardian, 8 januari 2018
• Zahlungsverkehr: Das Bankkonto wird offener, Golem
• Das Bankkonto wird zum offenen Buch, FAZ 8 januari 2018

Oude berichten op dit blog:

• Rekeninginformatiediensten bij het Maatschappelijk Overleg Betalingsverkeer | PSD2, 27 november 2017
• PSD2: afscherming van gegevens van derden? 10 november 2017
• Alle berichten met de tag ‘PSD2’