PSD2 en privacy

Vorige week is De Nederlandsche Bank (DNB) gestart met een nieuwe publiekscampagne genaamd ‘U beslist’. Eerder werden vergelijkbare publiekscampagnes gehouden vanwege de introductie van de euro en toen iedereen verplicht een IBAN-nummer kreeg; bij aanzienlijke wijzigingen in de betaalindustrie dus. De huidige campagne is bedoeld om consumenten te informeren over de nieuwe ‘Richtlijn betaaldiensten in de interne markt’, vaker bekend als PSD2, die 19 februari 2019 officieel in werking is getreden. Dat deze campagne nodig is blijkt wel uit het halfjaarlijks onderzoek naar digitaal bankieren van ING waarbij werd aangetoond dat 82% van de Nederlanders afgelopen januari nog nooit gehoord had van PSD2. Uit dezelfde monitor bleek dat 46% van de Nederlanders een negatief gevoel heeft bij PSD2 en 11% zelfs aangaf er een zeer negatief gevoel bij te hebben.

Alleen informatie of ook betalen?

Door de invoering van PSD2 krijgen naast banken ook niet-bancaire partijen, waaronder grote tech-bedrijven, de mogelijkheid zich toegang te verschaffen tot bankrekeningen voor het leveren van innovatieve diensten. Hiervoor is wel een vergunning van DNB nodig. Hoe streng de vergunningsvereisten zijn hangt af van de dienst, waarbij PSD2 onderscheid maakt tussen rekeninginformatiediensten en betaalinitiatiediensten. Partijen die zulke diensten aanbieden noemen we betaaldienstverleners.

Bij rekeninginformatiediensten kan een rekeninghouder bijvoorbeeld een overzicht laten maken van zijn betaalrekeningen bij verschillende banken. Hiervoor heeft de partij die dit overzicht maakt wel inzage nodig in de betaalgegevens. Voor die inzage is toestemming nodig van de rekeninghouder.

Bij betalingsinitiatiediensten gaat het om meer dan alleen inzage, er wordt namelijk ook een betaling gestart door de dienstverlener. De betaaldienstverlener, bijvoorbeeld een webshop, geeft namens de rekeninghouder opdracht aan diens huisbank om de betaling te starten.

De vergunningsvereisten van DNB zijn logischerwijs zwaarder voor betalingsinitiatiediensten dan voor rekeninginformatiediensten.

Privacy Risico’s

Dat veel Nederlanders een negatief gevoel hebben bij PSD2 is begrijpelijk, gezien de gevoeligheid van betaalgegevens. Betaalgegevens vertellen immers veel over de betreffende rekeninghouder. Het zal namelijk vrijwel altijd gaan om persoonsgegevens, waardoor de Algemene Verordening Gegevensbescherming (AVG) van toepassing is op de verwerking van de betaalgegevens. Denk aan afschrijvingen vanwege lidmaatschappen van een vakbond of politieke partij, achterstallige betalingen en koopgedrag. Een campagne om mensen bewuster te maken van de privacy risico’s die PSD2 met zich meebrengt lijkt dus geen overbodige luxe.

Rekeninghouder beslist

De discussie over PSD2 draait vooral om het gedeelte uit de richtlijn op basis waarvan banken, op verzoek van de rekeninghouder, derde betaaldiensten toegang tot rekeninginformatie moeten geven. Zoals mijn collega Bart Pegge eerder schreef, verdwijnt de nuance dat rekeninginformatie alleen ‘op verzoek van de rekeninghouder’ kan worden gedeeld vaak in de discussie. Het is dan ook aannemelijk dat DNB als naam van de campagne ‘U beslist’ heeft gekozen, om te benadrukken dat het de rekeninghouder is die bepaalt of zijn gegevens worden gedeeld met een andere partij dan zijn huisbank. Zonder toestemming van de rekeninghouder kan een andere partij dan de huisbank geen inzage in betaalgegevens krijgen. Met de campagne hoopt de DNB te bevorderen dat door rekeninghouders een weloverwogen beslissing wordt gemaakt als een derde partij vraagt om toegang te geven tot een bankrekening.

Toestemming onder de AVG

Betaaldienstverleners zullen de manier waarop toestemming gevraagd wordt zo moeten inrichten dat aan alle toestemmingsvereisten wordt voldaan, zowel de eisen die voortvloeien uit PSD2 als de eisen die voortvloeien uit de AVG.

De AVG schrijft voor dat toestemming vrij, ondubbelzinnig, geïnformeerd en specifiek moet zijn. Daarnaast gelden de overige toestemmingsvereisten die volgen uit de AVG, zoals de mogelijkheid voor de rekeninghouder om de gegeven toestemming te allen tijde in te trekken en de verplichting voor betaaldienstverleners om aan te kunnen tonen dat daadwerkelijk toestemming gegeven is.

Uitdrukkelijke toestemming vereist

Als de toestemming aan de vereisten uit de AVG voldoet is echter nog niet direct sprake van ‘uitdrukkelijke’ toestemming, zoals PSD2 dat vereist voordat betalingsdienstaanbieders persoonsgegevens gedurende 90 dagen mogen “verwerken en bewaren”. Toestemming is pas uitdrukkelijk als deze afzonderlijk van de andere onderdelen van de overeenkomst over de betaaldienst wordt gegeven. De toestemming moet dus specifiek zien op het verlenen van toegang tot de betaalinformatie. Het is daarbij belangrijk dat alleen toestemming gevraagd kan worden voor het verwerken van persoonsgegevens die noodzakelijk zijn voor het uitvoeren van betaaldienst. Uiteraard moet het daarbij gaan om een opt-in, waarbij de rekeninghouder bijvoorbeeld een box moet aanvinken. Het verstoppen van de toestemming in algemene voorwaarden mag niet.

PSD2 schrijft daarnaast voor dat toestemming wordt gegeven via ‘sterke cliëntauthenticatie’, wat neerkomt op twee factor authenticatie, zoals het inloggen op een website, wat vervolgens bevestigd moet worden met een code die per sms wordt toegestuurd of een vingerafdruk.

Bestaat de dienstverlening enkel en alleen uit het aanbieden van een rekeninginformatiedienst, zoals een digitaal huishoudboekje, dan geldt het vereiste van uitdrukkelijke toestemming niet, maar moet de rekeninghouder wel uitdrukkelijk ingestemd hebben.

Toezicht op PSD2

Omdat de AVG van toepassing is op het verwerken van de betaalgegevens, is de AP een van de toezichthouders voor PSD2, naast DNB, de Autoriteit Consument & Markt (ACM) en de Autoriteit Financiële Markten (AFM). DNB en de AP hebben in een samenwerkingsprotocol afspraken vastgelegd om het toezicht te optimaliseren. Het protocol benoemt een aantal gevallen waarin beide toezichthouders informatie zullen uitwisselen. Zo kan DNB de AP informeren indien uit een vergunningaanvraag blijkt dat er sprake is van een hoog risico voor de privacy van betrokkenen. Andersom kan de AP DNB informeren indien er een datalek is gemeld door een betaaldienstverlener.

Controle rekeninghouder

Voor zowel banken als niet-bancaire partijen die gebruik willen maken van de mogelijkheden die PSD2 biedt, is het een uitdaging om toestemming voor hun nieuwe dienst zo in te richten dat deze voldoet aan de vereisten uit PSD2 alsook aan alle vereisten die volgen uit de AVG. Door de campagne van DNB en de samenwerking tussen DNB en de AP zullen betaaldienstverleners die zich niet aan de regels houden sneller op de radar van de toezichthouders verschijnen. Gezien de scepsis onder Nederlanders over PSD2 lijkt het ook voor het imago van een betaaldienstverlener belangrijk om toestemming zo in te regelen dat de rekeninghouder het gevoel heeft controle te hebben over zijn betaalgegevens. Hoe toestemming gevraagd wordt zou zomaar eens een criterium kunnen worden op basis waarvan de Nederlandse consument zijn betaaldienstverlener kiest.

Wilt u zeker weten dat uw organisatie alle toestemmingsvereisten goed ingeregeld heeft, of heeft u andere vragen over PSD2? Neem dan contact met ons op.

 

Sybren Spoelstra Legal Consultant