PSD2 | wanneer wordt de overheid wakker

PSD2 is een gevaar voor de burger en de Nederlandse en Europese overheid leven nog in een naïef digitaal universum, zo schreef Marc Chavannes al op 6 december jl.:

 

 

Het is te hopen dat die overheid wakker wordt nu er meer aandacht is voor de enorme risico’s verbonden aan de afgifte door banken van persoonsgegevens van rekeninghouders aan betaaldienstverleners.

 

AMLC | De tweede Europese betaaldienstenrichtlijn (PSD2) en de risico’s op fraude en witwassen
Binnen diezelfde overheid wees het Anti Money Laundering Centre (AMLC) in het rapport het rapportDe tweede Europese betaaldienstenrichtlijn (PSD2) en de risico’s op fraude en witwassen” al op de risico’s voor de burger. Vanwege de grote risico’s doet AMLC onder meer de volgende aanbevelingen:

  • voorlichten van betalingsdienstgebruikers over de veranderingen in betaalmogelijkheden ten gevolge van de PSD2 en de mogelijke risico’s die hiermee gemoeid zijn;
  • voorlichten van betalingsdienstgebruikers over betaalmogelijkheden die gepaard gaan met een hoog frauderisico en (grote) incidenten hieromtrent;
  • toegang verlenen aan betalingsdienstgebruikers tot een online omgeving met een overzicht van de door hen geautoriseerde TPP’s, voorzien van de mogelijkheid om autorisaties (tijdelijk) te kunnen blokkeren;
  • actueel houden en voor alle betrokken partijen online (geautomatiseerd) toegankelijk maken van het Europese register met ingeschreven, vergunde betaaldienstverleners.

 

PSD2-me-niet-register | Privacy First
De actie van Privacy First inzake een PSD2-me-niet-register ondersteun ik van harte.

Hierna volgt hun oproep:

Europese PSD2-wetgeving zet privacy onder druk. Privacy First eist PSD2-me-niet-register.
maandag, 07 januari 2019

Nieuwe Europese wetgeving PSD2 in werking
Vanaf begin 2019 wordt in Nederland PSD2 van kracht (Payment Service Directive 2). Met deze nieuwe Europese bankenwet kunnen consumenten hun bankgegevens delen met andere partijen dan hun eigen bank. Hiervoor moet de consument eerst uitdrukkelijke toestemming geven. Hierna moet de bank alle transactiedata[1] van de consument (rekeninghouder) met een externe partij (financiële dienstverlener) delen voor een periode van 90 dagen, waarna de consument zijn toestemming kan vernieuwen.

PSD2 baart Privacy First grote zorgen
Privacy First heeft grote zorgen rond PSD2. De wet is teveel gericht op het verbeteren van mededinging en innovatie en het privacybelang van de rekeninghouders is uit het oog verloren. De grootste bezwaren van Privacy First zijn:

  • Consumenten kunnen de hoeveelheid bankgegevens niet beperken. Zelfs als een financiële dienstverlener deze gegevens niet nodig heeft, wordt na het geven van toestemming toch alle data gedeeld.
  • In de bankgegevens van een consument staan ook de gegevens van andermans tegenrekening. Deze persoon weet niet dat zijn gegevens gedeeld worden en kan dit ook niet verhinderen. Doordat de transactiedata via Big Data en data-analyses veel breder geanalyseerd zullen worden dan voor de inwerkingtreding van PSD2 ontstaan grote risico’s op privacyschendingen.
  • Bankgegevens bevatten “bijzondere persoonsgegevens” die alleen onder strikte voorwaarden verwerkt mogen worden.[2] Een contributiebetaling aan een vakbond, politieke partij of organisatie die seksuele voorkeur onthult, moet volgens Privacy First gezien worden als bijzonder (gevoelig) persoonsgegeven. Ook transacties met zorgverleners en apotheken moeten als bijzondere persoonsgegevens worden gezien. Op dit moment bestaat geen mogelijkheid deze gegevens te filteren en worden ze verstrekt aan partijen die deze gegevens niet mogen verwerken.

Tijdens de uitzending van AVROTROS Radar van maandagavond 7 januari 2019 vroeg Privacy First nadrukkelijk aandacht voor deze zaken.

PSD2-keurmerk voor transparantie
Privacy First wil dat consumenten eerlijk en transparant geïnformeerd worden over wat er met hun gegevens gebeurt. In plaats van lange privacy-statements pleit Privacy First voor onafhankelijke informatie op één A4, waarbij door consumenten vastgestelde informatie wordt geboden. Consumenten kunnen immers zelf het beste bepalen welke informatie zij waardevol vinden bij het maken van een keuze. Gedurende 2018 werkte Privacy First aan dit initiatief samen met de Volksbank en andere partners uit de financiële sector.

PSD2-me-niet-register
Privacy First is verbaasd dat er geen aandacht is geweest voor de rol van “bijzondere persoonsgegevens” in transactiedata. Deze gegevens mogen alleen onder strikte voorwaarden gedeeld worden en moeten dus gefilterd kunnen worden. Ook consumenten die niet willen dat hun gegevens door anderen worden gedeeld met financiële dienstverleners moeten de mogelijkheid krijgen dit te voorkomen. Daarom wil Privacy First een opt-out register voor PSD2, vergelijkbaar met het bel-me-niet-register. Tijdens de uitzending van Radar kondigde Privacy First aan het initiatief voor dit voorstel te nemen, waarbij wij ernaar streven dit met de financiële sector en politiek verder te ontwikkelen. Het doel daarbij is dat het gebruik van een opt-out register verplicht wordt gesteld. De Europese PSD2-richtlijn zal hiervoor aangepast moeten worden.

[1] Aanvullende informatie: het gaat om alle transactiedata. Hoe ver deze gegevens terug gaan verschilt per bank. Zie het overzicht van de Consumentenbond: Meerderheid bewaart rekeningafschriften ten minste 5 jaar https://www.consumentenbond.nl/betaalrekening/meerderheid-bewaart-rekeningafschriften-ten-minste-5-jaar.
[2] Aanvullende informatie: dit is opgenomen in artikel 9 AVG en art. 22 UAVG. Kortgezegd is de verwerking van bijzondere persoonsgegevens verboden, tenzij. Zie https://wetten.overheid.nl/BWBR0040940/2018-05-25.

 

Voor informatie kan  gekeken worden bij Radar, lees en bekijk “Wat betekent de nieuwe betaalrichtlijn PSD2 voor jou?

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/ ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Financieel recht, onder meer Wft, Wtt, ICT, privacy, e-commerce en getagged met , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s