PSD2 maakt mogelijk dat betaalgegevens van een rekeninghouder zonder diens toestemming terecht komen bij fintech bedrijven. Dat doet zich voor als een wederpartij bij een betalingstransactie gebruik maakt van “rekeninginformatiediensten”.
Voorbeeld:
Rekeninghouder X heeft geld geleend aan rekeninghouder Y. Rekeninghouder Y maakt gebruik van rekeninginformatiediensten, waardoor een dochteronderneming van Google alle bankrekeninggegevens van Y krijgt. In die bankrekeninggegevens zit ook informatie van X. De rekeninginformatiedienstverlener is verplicht om toestemming aan Y te vragen om toegang te krijgen tot diens bankrekening. Aan X wordt niets gevraagd. Dat betekent dat de gegevens van X zoals blijken uit de bankrekening van Y, zonder toestemming van X bij de genoemde Google-dochter terecht komen.
Degene wiens gegevens zonder toestemming gedeeld worden, in het voorbeeld ‘X’, worden ook wel ‘stille derde’ of de ‘silent third party’ genoemd. Veel Nederlanders zijn er niet van gecharmeerd dat hun gegevens door rekeninghouders die van rekeninginformatiediensten gebruik maken, worden verschaft aan fintech bedrijven. Officieel mogen deze de gegevens van de stille derde niet voor iets anders gebruiken dan de dienst voor de toestemming gevende rekeninghouder. De zorg is groot dat het daar niet bij blijft. Om die reden pleit Privacy First voor een PSD2-me-niet-register. Lees ook dit bericht.
Brief aan de bank
Al langer heeft het PSD2 datalek mijn aandacht. Bij een bericht van 10 november 2017 heb ik een conceptbrief opgenomen, die door één van de lezers van dit blog is gebruikt. Hierna volgt de reactie van de bewuste bank:
Dank u voor uw uitgebreide brief waarin u uw zorg uit over de gevolgen van de Payment Services Directive 2 (PSD2). U spreekt in deze brief een verbod uit waaraan ik niet kan voldoen. Dat licht ik graag toe.
Een van de meest besproken aspecten van de PSD2 is de mogelijkheid om transactieinformatie te delen met derden. Zoals u weet heeft [bank] een dubbele drempel opgeworpen om de transacties op uw rekeningen te delen met een andere betaaldienstverlener. Hiervoor moet u eerst de mogelijkheid om te gaan delen aanzetten (`hoofdschakelaar’). Vervolgens moet u een specifieke betaaldienstverlener expliciete toestemming geven met uw [pas].
Ik neem echter aan dat u niet van plan bent uw transacties met een andere betaaldienstverlener (of rekeninginformatiedienstverlener zoals u het noemt) te gaan delen. U spreekt in uw brief uw expliciete zorg uit over `derdeninformatie’. Deze transactiegegevens bevatten immers gegevens van betalers en ontvangers die hiervoor geen toestemming gegeven hebben. U schrijft in uw brief dat derdeninformatie niet mag worden afgegeven zonder toestemming van deze derden.
Hoewel ik geen jurist ben betwijfel ik of u daar gelijk in heeft. De Autoriteit Persoonsgegevens (AP) stelt expliciet dat een betaaldienstverlener een grondslag volgens de Algemene Verordening Gegevensbescherming (AVG) moet hebben om persoonsgegevens te mogen verwerken. Dat betekent volgens mij in praktijk dat een betaaldienstverwerker een dossier mag aanleggen met transactiegegevens van een persoon die toestemming gaf, maar daaruit geen dossiers van derden mag destilleren. Ze mogen de persoonsgegevens van derden uit de transactiegegvens niet verwerken zonder grondslag voor deze derden.
Dit is complexe materie, en ik kan u hier geen sluitende uitleg over geven. Feit is dat de AP bij de implementatie van de richtlijn verschillende adviesrondes gedaan heeft. Ik verwijs u dan ook graag naar autoriteitpersoonsgegevens.nl om hier meer informatie over te krijgen.
In de richtlijn zoals die nu van kracht is, is de expliciete toestemming van een rekeninghouder voldoende om transactieinformatie te delen met een andere betaaldienstverlener, inclusief de derdeninformatie. [bank] heeft dan ook geen technische of andere maatregelen genomen om te voorkomen dat derdeninformatie via de toestemming van de rekeninghouder (Waar u een financiële transactie mee heeft gedaan) bij een andere betaaldienstverlener terecht komt.
U verbiedt mij (derden)informatie af te geven aan een door een andere gebruiker ingeschakelde rekeninginformatiedienstverlener. Graag leg ik u uit waarom ik niet aan dat verbod kan voldoen.Strikt genomen betekent uw verbod dat ik bij elke transactie op uw rekening eerst zou moeten toetsen of de ontvanger (of storter) gebruik maakt van een andere betaaldienstverlener. Er bestaat echter geen openbaar register met PSD2 toestemmingen, waardoor ik bij elke transactie de andere partij moet benaderen. Afgezien van de kosten en procedures die hierbij zou komen kijken zou dit praktisch bijzonder lastig zijn bij bijvoorbeeld een iDealbetaling of een pinbetaling. U zou dan moeten wachten tot de betreffende rekeninghouder reageert op onze navraag. Daarbij zijn PSD2 toestemmingen ook persoonsgegevens. Ik kan dus niet eisen dat een rekeninghouder of zijn bank hier inzage in geven.
Om aan uw verbod te voldoen zie ik op dit moment maar één mogelijkheid, en dat is uw rekeningen blokkeren voor alle transacties. Dat is neem ik aan niet uw bedoeling, want daarmee wordt het gebruik van uw rekening onmogelijk. Wanneer u ook na overleg met de AP van mening blijft dat uw transactiegegevens in de vorm van derdeninformatie een onoverkomelijk bezwaar zijn zult u iedereen die u betaalt of van wie u geld ontvangt vooraf moeten vragen of zij andere betaaldienstverleners gebruiken. [bank] kan dat niet voor u doen.
Het antwoord is onbevredigend.
Als het technisch mogelijk is voor de bank om rekeninginformatie te leveren aan betaaldienstverleners (die rekeninginformatiediensten leveren) dan moet het ook mogelijk zijn om de gegevens van rekeninghouders die voor PSD2 opt-out hebben gekozen te anonimiseren.
Toestemming rekeninghouder
Al weer een hele tijd geleden heb ik PSD2 doorgelezen en viel mij op dat aan de stille derde geen aandacht werd besteed. Verder staat in PSD2 heel nadrukkelijk dat de rekeninghouder toestemming moet geven voor het delen van informatie. Mij lijkt dat dit zowel voor degene geldt die van rekeninginformatiediensten gebruik wil maken, als voor de stille derde. Het is iets om dieper in te duiken.
Meer informatie:
- Lees over de stille derde de brief van EDPB (aankondiging, html) aan Europarlementariër Sophie in’t Veld, intro EDPB, op 5 juli 2018 op de site gepubliceerd:
The EDPB adopted a letter on behalf of the EDPB Chair addressed to Sophie in’t Veld MEP regarding the revised Payments Services Directive (PSD2 Directive). In its reply to Sophie in’t Veld the EDPB sheds further light on ‘silent party data’ by Third Party Providers, the procedures with regard to giving and withdrawing consent, the Regulatory Technical Standards, the cooperation between banks and the European Commission, EDPS and WP29 and what remains to be done to close any remaining data protection gaps.
- Directe link naar de brief van EDPB (pdf).
Ellen Timmer - juridische artikelen en berichten 
Juridisch gezien ben ik een leek, maar wil toch een vraag voorleggen in de form van mijn leken visie op het eigendom van de betaalgegevens. Ik sluit me aan bij de door u gebruikte personen X en Y, de bank B en fintech bedrijf F die namens Y over zijn rekeninggegevens mag beschikken. Dit eigendom bepaalt m.i. de kans op een juridische oplossing. Als die juridische grondslag ontbreekt is enkel een politieke oplossing mogelijk. De brief van een bank die u overgenomen heeft stelt vraagtekens bij het juridische kader.
1. Y kan op twee manieren derdeninformatie over X hebben. X kan een betaling aan Y doen of Y kan aan X een betaling doen. In het laatste geval gaat het wel om X maar heeft X geen enkele zeggenschap over hoe Y deze betaling kenmerkt. In het verleden heb ik zelf ook wel eens bij een betaling naar een kennis een ‘grappige’ omschrijving gebruikt, maar met PSD2 kan dit voor X tot (grote) problemen leiden.
2. X heeft zijn financiële rekening ondergebracht bij B en B heeft op basis van AVG bepaalde verplichtingen en er is een overeenkomst tussen X en B die wordt beschreven in de voorwaarden. De relatie tussen X en B is daarmee helder en transparant.
3. Als Y beschikt over derdeninformatie van X dan lijkt me dat deze derdeninformatie onder de verantwoordelijkheid valt van Y en dat X daar geen zeggenschap over heeft als er geen juridische relatie is tussen X en Y. Volgens mij speelt B hierin geen rol omdat het contract tussen X en B de relatie tot Y niet omvat en omdat in theorie Y een andere B kan hebben (namelijk B’) dan X.
4. Het ontbreken van een juridische relatie tussen X en Y geldt met name voor particulieren onderling.
5. Als Y geen particulier is maar een rechtspersoon zoals een bedrijf of stichting komt de AVG om de hoek kijken. Y mag dan geen F inschakelen zonder toestemming van X, het lijkt me dat deze toestemming via de voorwaarden van Y geregeld moet worden en getoetst moet worden aan de AVG.
6. Er is dus geen derdeninformatie probleem als Y geen particulier is omdat er dan sprake is van een ‘zakelijke’ relatie (misschien een paar uitzonderingen daar gelaten).
7. Er is wel een derdeninformatie probleem als Y wel een particulier is, maar daar kan m.i. juridisch niet veel aangedaan worden derhalve is het dus een politiek probleem.
Graag laat ik mijn leken visie bijschaven.
Helaas heb ik momenteel even geen tijd om er naar te kijken. Misschien later.