De betalingsrichtlijn PSD2 en uw privacy

Kort geleden is de Europese betalingsrichtlijn PSD2 (Payment Service Directive) in werking getreden. Net als iedere andere richtlijn moet deze eerst in de nationale wetgeving worden verankerd. In Nederland is dat nog niet zo ver. Toch doet de richtlijn al veel stof opwaaien, met name ten aanzien van de bescherming van persoonsgegevens van rekeninghouders. Wat is de PSD2 en wat is de impact ervan op uw privacy?

Doel van de richtlijn Het doel is om meer concurrentie op de betaalmarkt mogelijk te maken en om de innovatie en beveiliging van betaaldiensten te bevorderen. Privacy of de bescherming van persoonsgegevens lijkt bij het lezen van de richtlijn van ondergeschikter belang.

Nieuwe diensten Hoe wordt het verwezenlijken van die doelen mogelijk gemaakt? Consumenten en bedrijven krijgen voor online betaalrekeningen de mogelijkheid om van twee nieuwe diensten gebruik te maken betaalinitiatiediensten en rekeninginformatiediensten. Een betaalinitiatiedienst houdt in dat u als consument een partij toestemming geeft om een betaling voor u uit te voeren. Deze dienstverlening is een alternatief voor een betaling via iDEAL of creditcard.

Een rekeninginformatiedienst is een dienst waarbij een overzicht kan worden gemaakt van al uw betalingen en rekeningen, al dan niet bij verschillende banken. Van deze dienst kunt u gebruik maken wanneer u bijvoorbeeld een financieel adviesgesprek hebt en uw gehele financiële situatie in één overzicht wilt ontvangen.

Toestemming: uitdrukkelijk of niet? Ook dienstverleners die betaalinitiatiediensten of rekeninginformatiediensten verlenen, moeten zich houden aan de Algemene Verordening Gegevensbescherming (AVG). Betaalgegevens zijn gevoelige persoonsgegevens. Dat maakt dat het geven van toestemming ook conform de AVG moet worden verricht. Toestemming moet u uitdrukkelijk geven voor rekeninginformatiediensten. Dat betekent dat u bijvoorbeeld uw toestemming vrijelijk moet kunnen geven en dat u van tevoren goed moet weten waarvoor u toestemming geeft. U moet dus goed geïnformeerd zijn. Ook moet de dienstverlener u erop wijzen dat u de toestemming te allen tijde weer kan intrekken

Privacyrechtelijke bedenkingen Het verwerken van persoonsgegevens in het algemeen en betaalgegevens als gevoelige persoonsgegevens in het bijzonder op basis van toestemming, vind ik een lastig punt. Ook als u zelf uitdrukkelijke toestemming geeft aan een dienstverlener om een overzicht te maken van alle betalingen die u via uw rekeningen hebt gedaan, maakt dat nog dat u daarmee toestemming geeft voor gebruik van alle persoonsgegevens in de betaalrekening. Daarbij geldt dat voor rekeninginformatiediensten geen uitdrukkelijke toestemming hoeft te worden gegeven. Niet alleen uw persoonsgegevens worden immers gedeeld, ook die van bijvoorbeeld uw tegenrekeninghouders. Terwijl die tegenrekeninghouders de uitdrukkelijke toestemming niet gegeven hoeven hebben. Bovendien is de tekst van de richtlijn zo opgesteld dat geen duidelijk onderscheid lijkt te worden gemaakt tussen persoonsgegevens die wel en niet worden gedeeld.

Tot slot De verwachting is dat tegen de zomer van 2019 de implementatie van de PSD2 in de Nederlandse wetgeving is voltooid. Voor consumenten geldt dat zij te allen tijde waakzaam moeten zijn met het geven van toestemming. Weet u waarvoor u toestemming geeft? Wordt u verplicht om toestemming te geven? Voor bedrijven die betaalinitiatiediensten of rekeninginformatiediensten verlenen, geldt dat zij een grote voorsprong hebben wanneer zij bescherming van persoonsgegevens als unique selling point inzetten en daarin zoveel mogelijk transparant zijn. Wilt u zeker weten dat uw bedrijf persoonsgegevens verwerkt in lijn met de AVG en PSD2? Neemt u dan gerust contact op.

Simone Dirven https://www.kesselsadvocaten.nl/simone-dirven