In de de voorlopige versie van de nieuwe betaaldienstverleningsverordening van de EU, ook wel aangeduid als PSR [1], worden de wensen van de financiële sector vervuld om informatie uit te wisselen met onder meer internet service providers, telecombedrijven en met de grote platforms en advertentiebedrijven.

In de considerans van PSR wordt uitgelegd dat veel fraude zijn oorsprong vindt in websites die illegaal producten of diensten aanbieden. Ook communicatie aanbieders, grote internet platforms en de diensten van advertentiebedrijven (de asociale media zoals Meta, Google en consorten) spelen een rol in de verspreiding van illegale inhoud. Dat wordt in overwegingen (80b) en verder uitgelegd.

Vreemd genoeg betekent dat niet dat de asociale media (die meer onaangenaams doen dan alleen criminele advertenties faciliteren) aan banden wordt gelegd en dat de veiligheidsregels voor telecomproviders worden aangescherpt.

Verbod malafide advertenties
In plaats daarvan is er in PSR voor gekomen om regels op te nemen voor grote platforms en advertentiebedrijven [2], die inhouden dat zij geen malafide advertenties voor financiële diensten mogen verspreiden (artikel 59b).

Uitwisseling over mogelijke fraude met onder meer telecombedrijven en de grote advertentiebedrijven
In het nieuwe artikel 59a PSR staat dat er uitwisseling moet plaats vinden over (vermoedelijke) fraude tussen enerzijds betaaldienstverleners (onder meer banken) en anderzijds internet service providers [3], communicatie aanbieders [4], en de eerder genoemde platforms en advertentiebedrijven.

Wanneer betalingsfraude voortvloeit uit de publicatie van frauduleuze inhoud online, stellen betaaldienstverleners de internet service providers hiervan onverwijld in kennis (en moeten de laatstgenoemden maatregelen nemen).

Daar blijft het niet bij, want in leden 1. tot en met 3. staat (machinevertaling):

1. Voor zover dit nodig is voor het voorkomen en opsporen van mogelijk frauduleuze betalingstransacties, met inbegrip van transacties waarbij betalingsinitiatiediensten betrokken zijn, mogen gegevens worden uitgewisseld wanneer er objectief gerechtvaardigde redenen zijn om frauduleus gedrag van een gebruiker van hun dienst te vermoeden:

(a) tussen betaaldienstverleners en aanbieders van hostingdiensten, (…);
(b) tussen betaaldienstverleners en aanbieders van elektronische communicatiediensten, (…).

2. Voor de toepassing van de eerste alinea (…), zullen aanbieders van elektronische communicatiediensten (…) en aanbieders van zeer grote onlineplatforms en van zeer grote onlinezoekmachines (…) specifieke communicatiekanalen met betaaldienstverleners opzetten, of deelnemen aan een systeem voor effectieve communicatie of aan een mechanisme voor het delen van informatie, om snellere en effectievere uitwisselingen mogelijk te maken in overeenstemming met Verordening (EU) 2016/679 en Richtlijn 2002/58/EG.

3. Aanbieders van elektronische communicatiediensten (…) en aanbieders van zeer grote onlineplatforms en van zeer grote onlinezoekmachines (…) dragen zorg voor alle nodige voorlichtingsmaatregelen, waaronder het waarschuwen van de afnemers van hun diensten via alle passende middelen en media wanneer nieuwe vormen van online oplichting opduiken, waarbij rekening wordt gehouden met de behoeften van de meest kwetsbare groepen afnemers van hun diensten.

Voor de toepassing van de eerste alinea verstrekken aanbieders van elektronische communicatiediensten (…) de afnemers van hun diensten duidelijke aanwijzingen over:

(i) hoe frauduleuze pogingen kunnen worden herkend;
(ii) de maatregelen en voorzorgsmaatregelen die moeten worden genomen om te voorkomen dat zij het slachtoffer worden van op hen gerichte frauduleuze handelingen; en
(iii) de procedure voor het melden van frauduleuze handelingen.

Voor de toepassing van de eerste alinea verstrekken aanbieders van zeer grote onlineplatforms en van zeer grote onlinezoekmachines (…) de afnemers van hun diensten duidelijke aanwijzingen over:

(i) hoe frauduleuze pogingen kunnen worden herkend;
(ii) de maatregelen en voorzorgsmaatregelen die moeten worden genomen om te voorkomen dat zij het slachtoffer worden van frauduleuze handelingen die op hen zijn gericht; en
(iii) de procedure voor het melden van frauduleuze handelingen, met het oog op de naleving van artikel 16 van Verordening (EU) 2022/2065.

Wat levert het op?
Na het Odido-lek vraagt iedereen zich af of telecombedrijven wel te vertrouwen zijn als het om gegevensbescherming gaat. Bij hosting providers zijn er eveneens zwakke broeders. De grote internetbedrijven lappen de AVG aan hun laars, dus welke rol gaan zij hier spelen? Zouden de advertentiebedrijven zo een nieuwe bron van informatie over de burgers van de EU aanboren, zodat zij de profielen die zij hebben van iedereen in de EU kunnen verrijken?

Of zou dit werkelijk nuttig zijn? Het zal me benieuwen.

Noten:

[1] Provisional agreement resulting from interinstitutional negotiations, subject: Proposal for a regulation of the European Parliament and of the Council on payment services in the internal market and amending Regulation (EU) No 1093/2010, (COM(2023)0367 – C9-0217/2023 – 2023/0210(COD)). Het dossier van het Europees Parlement inzake PSR is hier te vinden.

[2] Aangeduid als: “providers of very large online platforms and of very large online search engines within the meaning of Article 33 of Regulation (EU)2022/2065“.

[3] Aangeduid als: “providers of hosting services“.

[4] Dit zijn “providers of electronic communications services, as defined in Article 2(4), point (b), of Directive (EU)2018/1972“, onder meer telecombedrijven.