Op 5 mei jl. is de voorlopige versie van de nieuwe betaaldienstverleningsverordening van de EU, ook wel aangeduid als PSR [1], openbaar gemaakt.
Daarnaast loopt de behandeling van een betaaldienstenrichtlijn, ook als PSD3 aangeduid [2], ook daar is een voorlopige versie (‘provisional agreement’) vastgesteld. PSD3 bevat de regels inzake toelating van betaaldienstverleners tot de Europese markt.
Vooral PSR is interessant omdat daarin – in aanvulling op de antiwitwasverordening (AMLR) [3] – de basis wordt gelegd voor het gedetailleerd volgen van iedere rekeninghouder in de EU en het onderling uitwisselen van informatie tussen betaaldienstverleners zoals banken. Ook schrijft PSR voor dat de transactiemonitoringsgegevens zeer langdurig moeten worden bewaard, wat de gegevensbeschermingsrisico’s van burgers sterk verhoogt.
Transactiemonitoring
De kern van PSR wordt gevormd door de verplichting om transacties te monitoren, ter voorkoming van fraude en misbruik. Die monitoringsverplichting heeft verwantschap met de monitoringsverplichting van AMLR. Het verschil is dat de AMLR een veel bredere monitoring voorschrijft, er moet door bedrijven niet alleen gekeken worden naar transacties maar ook naar allerlei andere feiten en omstandigheden die er op kunnen wijzen dat hun klant een crimineel is. Lees mijn artikel over artikel 69 AMLR.
De transactiemonitoring van PSR is geregeld in artikel 83 van de voorlopige versie. Op grond van lid 1b. wordt de monitoring gebaseerd op een analyse van eerdere betalingstransacties en op online toegang tot betaalrekeningen. Vervolgens staat in lid 2 met welke informatie over degene die de betalingsopdracht geeft (de ‘payer’) rekening moet worden gehouden. Dat is heel wat (machinevertaling):
(a) informatie over de betaler, met inbegrip van de omgevings- en gedragskenmerken die kenmerkend zijn voor de betaler bij normaal gebruik van de gepersonaliseerde beveiligingsgegevens;
(b) informatie over de betaalrekening, met inbegrip van de transactiegeschiedenis;
(c) transactiegegevens, met inbegrip van het transactiebedrag, het betaalinstrument, de valuta, de datum en het tijdstip van uitvoering, alsmede de unieke identificatiecode van de begunstigde;
(d) sessiegegevens, met inbegrip van het IP-adresbereik van het apparaat van waaruit toegang is verkregen tot de betaalrekening en van waaruit de transactie is geïnitieerd;
(e) apparaatgegevens, met inbegrip van de apparaatidentificatiegegevens van waaruit de transactie is geïnitieerd;
(ea) informatie over de begunstigde, met inbegrip van de unieke identificatiecode van de begunstigde;
(eb) informatie die via samenwerkingsverbanden voor informatie-uitwisseling is ontvangen.
Ik ben heel benieuwd wat er onder “omgevings- en gedragskenmerken” van (a) wordt verstaan en of de bank die kan kennen. Het zal allemaal geautomatiseerd gebeuren, wat me nog meer benieuwd maakt naar de betekenis. Ook is interessant of de computer van de bank iets kan met de transactiegeschiedenis.
De betaaldienstverlener van de begunstigde van de betaling moet ook monitoren, dat betreft:
(a) gegevens over de begunstigde;
(aa) informatie die via samenwerkingsverbanden voor informatie-uitwisseling is verkregen;
(b) gegevens over de betaalrekening van de begunstigde, met inbegrip van de transactiegeschiedenis;
(c) transactiegegevens, waaronder het transactiebedrag, het betaalinstrument, de valuta, de datum en het tijdstip van uitvoering, alsmede de naam van de betaler.
De Europese wetgever heeft humor: in artikel 69 van de verordening staat dat als een betaalopdracht ‘ongebruikelijk’ is, dat nog niet betekent dat de opdracht meteen verdacht is:
For the purpose of this Regulation, the fact that a payment order is unusual shall not by itself constitute objectively justified reasons to suspect fraud.
Zou dat verhulde kritiek zijn op het huidige Nederlandse antiwitwassysteem om ‘ongebruikelijke’ transacties te melden?
Oneindige bewaarplicht
Kenmerkend voor de witwasbestrijding is de oneindige bewaarplicht, nl. tot vijf jaar na het eindigen van de zakelijke relatie. Bij incidentele transacties en relaties is dat geen probleem. Echter het is wel problematisch bij relaties met banken en andere betaaldienstverleners, aangezien die vaak zeer langdurig zijn.
Die oneindige bewaarplicht is ook in PSR terug te vinden. In lid 2b staat dat de gegevens niet langer mogen bewaren dan nodig voor de doeleinden van het artikel (fraudebestrijding), en in ieder geval niet langer dan vijf jaar na beëindiging van de zakelijke relatie.
De risico’s verbonden aan het langdurige bewaren van vertrouwelijke gegevens, onder meer persoonsgegevens, lijkt de Europese wetgever niet te interesseren, terwijl wat betaaldienstverleners onder zich hebben zeer interessant is voor criminelen en andere ongewenste types.
Tot slot
Het blijft vreemd dat men in Europa de rekeninghouders dit soort grote gegevensbeschermingsrisico’s wil laten lopen. De criminaliteitsbestrijders hebben een grote hekel aan dataminimalisatie, zo lijkt het.
Intussen hoeven betaaldienstverleners datalekken niet aan hun klanten te melden (artikel). Dus waarschijnlijk moet er eerst een grote ramp gebeuren voordat de Europese wetgever wakker wordt.
Noten:
[1] Provisional agreement resulting from interinstitutional negotiations, subject: Proposal for a regulation of the European Parliament and of the Council on payment services in the internal market and amending Regulation (EU) No 1093/2010, (COM(2023)0367 – C9-0217/2023 – 2023/0210(COD)). Het dossier van het Europees Parlement inzake PSR is hier te vinden.
[2] Proposal for a directive European Parliament and of the Council on Payment services and electronic money services in the Internal Market amending Directive 98/26/EC and repealing Directives 2015/2366/EU and 2009/110/EC (COM(2023)0366 – C9-0218/2023 – 2023/0209(COD)).
Ellen Timmer - juridische artikelen en berichten 