PSD2 en AVG: De bank moet jouw betaalrekeningen openstellen voor andere bedrijven. AP geeft uitleg
Als het goed is ontvang je een dezer dagen post van je bank met uitleg over de impact van de nieuwe Europese betaalwet PSD2.
Alle banken in de Europese Unie moeten het mogelijk maken dat andere bedrijven met jouw toestemming toegang kunnen krijgen tot jouw betaalrekening. Wat betekent dat voor jouw privacy?
En waarom zouden andere bedrijven toegang moeten hebben tot jouw betaalrekening?
Jij bepaalt wie toegang krijgen tot jouw betaalgegevens
Allereerst… Er moet niets. Jij blijft eigenaar van jouw betaalgegevens. Jij bepaalt zelf of jij gebruik maakt van de mogelijkheid om je gegevens te delen met andere partijen. Bijvoorbeeld met je administratiepakket zodat dat voortaan vrijwel automatisch je bankgegevens kan verwerken.
Ook kun je voortaan zonder creditcard iets online kopen bij een buitenlandse webshop. Je kunt deze webwinkel dan toestaan om eenmalig een bedrag van je bankrekening af te schrijven. Net zoals je nu kunt doen via bijvoorbeeld Ideal.
Eisen PSD2
Een vereiste onder PSD2 is dat betaaldienstverleners alleen toegang mogen krijgen tot persoonsgegevens van consumenten als zij hiervoor uitdrukkelijke toestemming hebben gekregen van die consumenten.
De Autoriteit Persoonsgegevens heeft nu met Q&A’s voor betaaldienstverleners verduidelijkt waar de ‘uitdrukkelijke toestemming’ van gebruikers aan moet voldoen.
Payment Services Directive
PSD2 staat voor de tweede Payment Services Directive. Het is een Europese richtlijn over betaaldiensten.
De richtlijn regelt onder meer dat niet alleen banken maar ook andere partijen nieuwe betaal- en rekeningdiensten mogen aanbieden.
De bescherming van de privacy van consumenten is een belangrijk onderdeel van PSD2, omdat betaalgegevens gevoelige financiële persoonsgegevens zijn. De wetgeving over de richtlijn ligt nu ter behandeling bij de Eerste Kamer.
Eisen aan uitdrukkelijke toestemming
Een van de belangrijkste privacyregels uit de PSD2-richtlijn is dat betaaldienstverleners zonder uitdrukkelijke toestemming geen toegang mogen hebben tot persoonsgegevens. Dit geldt bijvoorbeeld voor rekeninghoudende betaaldienstverleners (zoals banken) en betaalinitiatiedienstverleners.
De eis van uitdrukkelijke toestemming houdt onder meer in dat een betaaldienstverlener afzonderlijk van de andere onderdelen van een overeenkomst om toestemming vraagt aan iemand om toegang te krijgen tot zijn of haar persoonsgegevens.
De manier waarop uitdrukkelijke toestemming wordt gevraagd moet vrij zijn, ondubbelzinnig, geïnformeerd en specifiek. Consumenten moeten hun toestemming ook gemakkelijk weer kunnen intrekken.
Iemand mag bijvoorbeeld niet onder druk worden gezet om toestemming te geven. En toestemming moet een actieve handeling zijn; stilzwijgende toestemming of voor-aangevinkte vakjes zijn niet toegestaan.
Een betaaldienstverlener moet een consument ook goed informeren over welke gegevens worden verzameld en waarvoor ze worden gebruikt.
Voor welke betaaldienstverleners geldt de eis?
Het vereiste van uitdrukkelijke toestemming voor de toegang tot persoonsgegevens geldt voor alle soorten betaaldiensten.
Behalve als de dienstverlening alleen bestaat uit het aanbieden van een rekeninginformatiedienst.
Zodra de rekeninginformatiedienst wordt gecombineerd met een andere betaaldienst geldt het vereiste van uitdrukkelijke toestemming wél.
Betaaldienstverleners moeten zich net als alle andere organisaties ook houden aan de privacywet, de Algemene verordening gegevensbescherming (AVG).
Belangrijke AVG-regels zijn bijvoorbeeld dat een betaaldienstverlener altijd een grondslag moet hebben om persoonsgegevens te mogen verwerken en maatregelen moet treffen om persoonsgegevens goed te beveiligen.