Privacy bij nieuwe diensten door betaaldienstverleners (PSD2)

Een nieuwe Europese regeling, PSD2 genaamd, biedt aan ondernemers, organisaties en consumenten de mogelijkheid twee nieuwe diensten te benutten. Het betreft betaalinitiatie- en rekeninginformatiediensten. De betaalinitiatiedienst houdt in dat een rekeninghouder via een betaaldienstverlener aan de eigen bank opdracht geeft tot betaling. Bij rekeninginformatiediensten geeft de rekeninghouder de betaaldienstverlener toestemming om alle rekeninggegevens bij de bank te verzamelen en te gebruiken, bijvoorbeeld voor het opstellen van een financieel overzicht voor een ondernemer of consument.

Omdat de betaaldienstverlener toegang krijgt tot vertrouwelijke (persoons)gegevens is het bij deze nieuwe diensten van belang dat de rekeninghouder een zorgvuldige keuze voor een betaaldienstverlener heeft gedaan en bewust toestemming heeft verleend. Bij betaalinitiatiediensten is de toegang beperkt tot saldo-informatie en informatie over de wederpartij van de betreffende transactie. Bij rekeninginformatiediensten krijgt de dienstverlener tevens de beschikking over persoonsgegeven van derden.

Ter verduidelijking: als bijvoorbeeld een huisarts gebruik maakt van rekeninginformatiediensten om betaling van zijn patiënten te analyseren, ziet de rekeninginformatiedienstverlener wie de patiënten zijn en hoe vaak ze de huisarts hebben bezocht.

Toestemming rekeninghouder

Onder PSD2 is bepaald dat betaaldienstverleners alleen toegang mogen krijgen tot bankrekeninggegevens (die persoonsgegevens zijn) als de consument hiervoor uitdrukkelijk toestemming heeft gegeven. De Autoriteit Persoonsgegevens is van oordeel dat de betaaldienstverlener afzonderlijk toestemming moet vragen aan consumenten voor toegang tot de persoonsgegevens. Dat betekent dat die toestemming apart van de andere onderdelen uit de overeenkomst tussen de betaaldienstverlener en de rekeninghouder moet worden gevraagd.

Voorts geldt:

• toestemming kan slechts worden verzocht voor specifieke verwerkingen met een specifiek doel;
• de rekeninghouder wordt inzichtelijk geïnformeerd over welke persoonsgegevens worden verwerkt en waarvoor ze worden gebruikt;
• de toestemming moet eenvoudig kunnen worden ingetrokken en bij het vragen van toestemming dient dit te worden vermeld;
• de rekeninghouder mag niet onder druk worden gezet om toestemming te verlenen;
• de toestemming dient een actieve handeling te zijn;
• er dient aan de rekeninghouder correcte en ondubbelzinnige informatie te worden verschaft bij het verzoeken om toestemming;
• de identiteit van de betaaldienstverlener en het doel van de verwerking moet worden vermeld;
• stilzwijgende toestemming of reeds aangevinkte vakjes niet zijn toegestaan.

Rekeninginformatiediensten

De eis van ‘uitdrukkelijke toestemming’ geldt volgens de Autoriteit Persoonsgegevens niet voor het aanbieden van een rekeninginformatiedienst, terwijl de betaaldienstverlener de beschikking krijgt over persoonsgegeven van zowel de rekeninghouder als van derden, waaronder natuurlijke personen. De Autoriteit Persoonsgegevens licht deze lichtere eis niet toe.

Een rekeninginformatiedienstverlener mag de persoonsgegevens van de rekeninghouder en de wederpartijen niet gebruiken voor andere doelen dan de uitvoering van de overeenkomst. De rekeninginformatiedienstverlener moet zich daarbij aan de AVG te houden. Om zeker te zijn van correcte naleving, is het van groot belang dat toezicht op deze betaaldienstverleners wordt gehouden en dat wordt gemonitord dat de persoonsgegevens niet voor andere doelen worden ingezet. Voorbeelden daarvan zijn marketing, kredietbeoordeling en informatie ten behoeve van witwasbestrijding.

Extra aandacht verdient dat betaaldienstverleners uit andere EU-landen rekeninginformatiediensten in Nederland kunnen aanbieden. Zo gaf kredietbeoordelaar en witwasinformatiedienstverlener Experian medio 2018 aan over een buitenlandse PSD2-vergunning te beschikken. Er zal moeten worden afgewacht welke aanbieders van PSD2-diensten in Nederland actief zullen worden en hoe het toezicht op de privacyregels in de praktijk verloopt.

Privacyadvies door Pellicaan

Neem voor een privacyadvies contact op met een van de privacy-advocaten van Pellicaan Advocaten.

Verder lezen bij de AP

Lees ook: AP geeft betaaldienstverleners uitleg over uitdrukkelijke toestemming PSD2, nieuwsbericht 18 oktober 2018