Is er nog privacy onder PSD2? | wat betekent “uitdrukkelijke toestemming” bij rekeninginformatiedienstverlening

Onlangs heeft de Autoriteit Persoonsgegevens (AP) uitleg gegevens aan betaaldienstverleners over het begrip “uiteindelijke toestemming” in PSD2, in verband met de privacy van natuurlijke personen.

Het bericht van de AP:

AP geeft betaaldienstverleners uitleg over uitdrukkelijke toestemming PSD2
Nieuwsbericht/18 oktober 2018
Categorie: Betaaldiensten

De bescherming van de privacy van consumenten is een belangrijk onderdeel van de nieuwe Europese wet voor het betalingsverkeer (PSD2). Een vereiste onder PSD2 is dat betaaldienstverleners alleen toegang mogen krijgen tot persoonsgegevens van consumenten als zij hiervoor uitdrukkelijke toestemming hebben gekregen van die consumenten. De consument beslist dus zelf of een betaaldienstverlener inzage mag hebben in zijn of haar bankrekening en betaalgedrag. De Autoriteit Persoonsgegevens (AP) heeft nu met Q&A’s voor betaaldienstverleners verduidelijkt waar die ‘uitdrukkelijke toestemming’ aan moet voldoen.

PSD2 staat voor de tweede Payment Services Directive. Het is een Europese richtlijn over betaaldiensten. Deze richtlijn regelt onder meer dat niet alleen banken maar ook andere partijen nieuwe betaal- en rekeningdiensten mogen aanbieden. Bijvoorbeeld een dienst die helpt overzicht te houden over afzonderlijke bankrekeningen.

De bescherming van de privacy van consumenten is een belangrijk onderdeel van PSD2, omdat betaalgegevens gevoelige financiële persoonsgegevens zijn. De wetgeving over de richtlijn ligt nu ter behandeling bij de Eerste Kamer.

Eisen aan uitdrukkelijke toestemming
Een van de belangrijkste privacyregels uit de PSD2-richtlijn is dat betaaldienstverleners zonder uitdrukkelijke toestemming geen toegang mogen hebben tot persoonsgegevens. Dit geldt bijvoorbeeld voor rekeninghoudende betaaldienstverleners (zoals banken) en betaalinitiatiedienstverleners.

De eis van uitdrukkelijke toestemming houdt onder meer in dat een betaaldienstverlener afzonderlijk van de andere onderdelen van een overeenkomst om toestemming vraagt aan iemand om toegang te krijgen tot zijn of haar persoonsgegevens.

De manier waarop uitdrukkelijke toestemming wordt gevraagd moet vrij zijn, ondubbelzinnig, geïnformeerd en specifiek. Consumenten moeten hun toestemming ook gemakkelijk weer kunnen intrekken.

Iemand mag bijvoorbeeld niet onder druk worden gezet om toestemming te geven. En toestemming moet een actieve handeling zijn; stilzwijgende toestemming of voor-aangevinkte vakjes zijn niet toegestaan. Een betaaldienstverlener moet een consument ook goed informeren over welke gegevens worden verzameld en waarvoor ze worden gebruikt.

Voor welke betaaldienstverleners geldt de eis?
Het vereiste van uitdrukkelijke toestemming voor de toegang tot persoonsgegevens geldt voor alle soorten betaaldiensten. Behalve als de dienstverlening alleen bestaat uit het aanbieden van een rekeninginformatiedienst. Zodra de rekeninginformatiedienst wordt gecombineerd met een andere betaaldienst geldt het vereiste van uitdrukkelijke toestemming wél.

Betaaldienstverleners moeten zich net als alle andere organisaties ook houden aan de privacywet, de Algemene verordening gegevensbescherming (AVG). Belangrijke AVG-regels zijn bijvoorbeeld dat een betaaldienstverlener altijd een grondslag moet hebben om persoonsgegevens te mogen verwerken en maatregelen moet treffen om persoonsgegevens goed te beveiligen.

Lichtere eisen aan toestemming bij rekeninginformatiedienstverlening
Opvallend is dat het vereiste van uitdrukkelijke toestemming niet geldt voor het aanbieden van een “rekeninginformatiedienst”, terwijl die dienst veel meer risico’s oplevert. Door middel van de rekeninginformatiedienst verkrijgt de rekeninginformatiedienstverlener niet alleen vertrouwelijke persoonlijke gegevens van de rekeninghouder zelf, maar ook van dienst wederpartijen.

Op een andere pagina schrijft de AP:

Voor welke betaaldienstverleners geldt de eis van uitdrukkelijke toestemming onder PSD2?

Het vereiste van uitdrukkelijke toestemming voor de toegang tot persoonsgegevens geldt voor alle soorten betaaldiensten. Dit is vastgelegd in de PSD2-richtlijn. Er geldt een uitzondering voor dienstverlening die alléén bestaat uit het aanbieden van een rekeninginformatiedienst.

Uitzondering voor rekeninginformatiediensten
Het vereiste van uitdrukkelijke toestemming voor de toegang tot persoonsgegevens geldt niet als de dienstverlening alléén bestaat uit het aanbieden van een rekeninginformatiedienst, zoals een digitaal huishoudboekje.

Wel moet de consument in zo’n geval uitdrukkelijk instemmen met de dienstverlening. Dit gebeurt via een autorisatie die maximaal 90 dagen geldig is.

De rekeninginformatiedienst mag geen persoonsgegevens verwerken voor andere doelen dan het uitvoeren van de rekeninginformatiedienst. De rekeninginformatiedienst moet zich houden aan alle regels uit de Algemene verordening gegevensbescherming. (…)

Op grond waarvan voor rekeninginformatiedienstverlening lichtere eisen gelden, wordt door de AP niet toegelicht.

Ook de wederpartijen komen bij de AP aan de orde:

Kan een betaaldienstverlener mijn persoonsgegevens ook zien als iemand anders toestemming geeft en ik niet?

Bent u de begunstigde van een betaling? Dus maakt iemand anders geld naar u over? Dan kan de betaaldienstverlener wel persoonsgegevens zien die noodzakelijk zijn om de betaaldienst uit te voeren. Bijvoorbeeld uw naam en bankrekeningnummer.

Zonder uw uitdrukkelijke toestemming mogen er niet meer gegevens zichtbaar zijn.

Ook zelf toestemming geven bij commercieel gebruik
U kunt ook alleen zelf toestemming geven voor het commercieel gebruik van uw persoonsgegevens door een betaaldienstverlener. Bijvoorbeeld voor het analyseren van uw koopgedrag.

Een ander kan uw persoonsgegevens dus niet zonder uw toestemming aan een derde geven voor commercieel gebruik.

Rekeninginformatiedienstverlening wordt in bovenstaand citaat niet besproken.

De AP wijst er op dat er een verschil zit tussen toestemming onder PSD2 en de AVG: “Let op: een van de grondslagen voor het verwerken van persoonsgegevens is ‘toestemming van de betrokken persoon’. Dit is níet hetzelfde als de uitdrukkelijke toestemming zoals bedoeld in de PSD2-richtlijn.

Theorie en werkelijkheid
Rekeninginformatiedienstverlening kan een prachtige bron van informatie gaan opleveren voor ondernemingen die deze dienst aanbieden. Hoewel datahandel (zoals marketing, kredietbeoordeling en handel in witwasbestrijdingsinformatie) officieel niet is toegestaan, is zeer goed denkbaar dat dit toch zal gaan gebeuren.

Of de aanbieders zich daadwerkelijk aan hun wettelijke verplichtingen zullen gaan houden en de ontvangen gegevens niet op andere wijze zullen gaan gebruiken, moet worden afgewacht. De ervaringen die we al hebben met internetgiganten zonder moreel besef, zouden wat mij betreft tot grotere terughoudendheid moeten leiden.

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/ ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Financieel recht, onder meer Wft, Wtt, ICT, privacy, e-commerce en getagged met , , , , , . Maak dit favoriet permalink.

2 reacties op Is er nog privacy onder PSD2? | wat betekent “uitdrukkelijke toestemming” bij rekeninginformatiedienstverlening

  1. BL Bierhaus zegt:

    Hoe verhoud AVG zich nu exact t.o.v. PSD2? Volgens AVG mogen persoonsgevevens (zoals naam en bankrekeningnummer) die NIET verwerkt worden zonder mijn uitdrukkelijke toestemming (voor een specifiek, vooraf aangegeven doel). Volgens PSD2 kunnen deze gegeven WEL verwerkt worden zonder mijn uitdrukkelijke toestemming:

    site AP; vraag&Antwoord:
    Vraag:Kan een betaaldienstverlener mijn persoonsgegevens ook zien als iemand anders toestemming geeft en ik niet?
    Antwoord: Bent u de begunstigde van een betaling? Dus maakt iemand anders geld naar u over? Dan kan de betaaldienstverlener wel persoonsgegevens zien die noodzakelijk zijn om de betaaldienst uit te voeren. Bijvoorbeeld uw naam, bankrekeningnummer, betalingskenmerk en -omschrijving. Zonder uw uitdrukkelijke toestemming mogen er niet meer gegevens zichtbaar zijn.

    Ik wil dit niet, gaat AVG boven PSD2?

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s