PSD2 treedt vandaag in werking

Vandaag treedt de nieuwe Europese richtlijn Payment Services Directive 2 (PSD2) in Nederland in werking. Partijen die die nieuwe betaaldiensten aanbieden hebben daarvoor toegang tot de betaalrekening nodig. Omdat het belangrijk is dat de privacy van de rekeninghouder gewaarborgd blijft, ziet de Autoriteit Persoonsgegevens (AP) toe op de belangrijkste privacy bepalingen in de nieuwe wetgeving.

Aanbieders van nieuwe betaaldiensten moeten zich ook houden aan de Algemene Verordening Gegevensbescherming (AVG). Bij overtreding van deze wet kan de AP forse boetes opleggen. Consumenten kunnen door deze nieuwe diensten makkelijker, veiliger en goedkoper (grensoverschrijdend) betalen en beter inzicht krijgen in hun uitgaven en inkomsten. Klanten hebben altijd zelf de keuze of ze gebruik willen maken van nieuwe diensten onder PSD2 en hun gegevens daarvoor willen delen. Als de klant dat wil, dan moeten banken de aanbieders van nieuwe innovatieve betaaldiensten voortaan toegang gaan geven tot zijn bankgegevens.

Wat verandert er door deze nieuwe regels?
Bedrijven kunnen toegang tot de betaalrekening krijgen van banken als de rekeninghouder hier expliciet toestemming voor geeft. Zij hebben daarmee inzicht in betaalgegevens en kunnen op basis daarvan hun diensten aanbieden zoals het uitvoeren van online grensoverschrijdende betaalopdrachten of het bieden van inzicht in uitgaven en inkomsten in een digital huishoudboekje.

Daarnaast mogen winkels, webshops en andere bedrijven geen toeslagen meer berekenen voor de meeste creditcardbetalingen. Nu mogen bedrijven de (daadwerkelijk gemaakte) kosten die zij betalen voor betaaltransacties nog doorberekenen aan consumenten, bijvoorbeeld een toeslag van 2% als je online met je creditcard wilt betalen. Ook is er geen eigen risico meer bij diefstal of verlies van een betaalinstrument, zoals een betaalpas.

Privacy en toezicht
De veiligheid van het Nederlandse betalingsverkeer is van groot belang. PSD2 introduceert daarom voor alle betaaldienstverleners extra beveiligingseisen. Bedrijven die de nieuwe innovatieve diensten willen aanbieden moeten in het bezit zijn van een vergunning en komen onder toezicht te staan. In Nederland moet deze vergunning worden aangevraagd bij De Nederlandsche Bank (DNB). Door DNB worden nieuwe aanbieders van tevoren bijvoorbeeld getoetst op betrouwbaarheid en op de kwaliteit van de beveiliging van de gegevens.

Partijen die die nieuwe betaaldiensten aanbieden hebben daarvoor toegang tot de betaalrekening nodig. Omdat het belangrijk is dat de privacy van de rekeninghouder gewaarborgd blijft, is dit nadrukkelijk meegenomen bij de implementatie van de richtlijn. Zo ziet de Autoriteit Persoonsgegevens (AP) toe op de belangrijkste privacy bepalingen in de nieuwe wetgeving. Aanbieders van nieuwe betaaldiensten moeten zich ook houden aan de Algemene Verordening Gegevensbescherming (AVG). Bij overtreding van deze wet kan de AP forse boetes opleggen.

Als een bedrijf toegang krijgt tot de betaalrekening van de consument moeten de gevoelige betaalgegevens goed beschermd zijn. Daarom geeft PSD2 extra waarborgen over de toegang tot, het verwerken en het opslaan van deze gegevens. Zo moeten betaaldienstverleners een beveiligingsbeleid hebben om de gebruiker te beschermen tegen beveiligingsrisico’s, zoals fraude en illegaal gebruik van gevoelige betaalgegevens.

Reactie Privacy Persdienst 
Privacy First heeft grote zorgen rond PSD2. De wet is teveel gericht op het verbeteren van mededinging en innovatie en het privacybelang van de rekeninghouders is uit het oog verloren. De grootste bezwaren van Privacy First zijn dat de consumenten de hoeveelheid bankgegevens niet kunnen beperken. Zelfs als een financiële dienstverlener deze gegevens niet nodig heeft, wordt na het geven van toestemming toch alle data gedeeld. In de bankgegevens van een consument staan verder ook de gegevens van andermans tegenrekening. Deze persoon weet niet dat zijn gegevens gedeeld worden en kan dit ook niet verhinderen. Doordat de transactiedata via Big Data en data-analyses veel breder geanalyseerd zullen worden dan voor de inwerkingtreding van PSD2 ontstaan grote risico's op privacyschendingen.

Bijzondere persoonsgevens
Bankgegevens bevatten “bijzondere persoonsgegevens” die alleen onder strikte voorwaarden verwerkt mogen worden. Een contributiebetaling aan een vakbond, politieke partij of organisatie die seksuele voorkeur onthult, moet volgens Privacy First gezien worden als bijzonder (gevoelig) persoonsgegeven. Ook transacties met zorgverleners en apotheken moeten als bijzondere persoonsgegevens worden gezien. Op dit moment bestaat er geen mogelijkheid deze gegevens te filteren en worden ze verstrekt aan partijen die deze gegevens niet mogen verwerken.

Tijdens de uitzending van AVROTROS Radar van maandagavond 7 januari jl. vroeg Privacy First nadrukkelijk aandacht voor deze zaken.

PSD2-keurmerk voor transparantie
Privacy First wil dat consumenten eerlijk en transparant geïnformeerd worden over wat er met hun gegevens gebeurt. In plaats van lange privacy-statements pleit Privacy First voor onafhankelijke informatie op één A4, waarbij door consumenten vastgestelde informatie wordt geboden. Consumenten kunnen immers zelf het beste bepalen welke informatie zij waardevol vinden bij het maken van een keuze. Gedurende 2018 werkte Privacy First aan dit initiatief samen met de Volksbank en andere partners uit de financiële sector.

PSD2-me-niet-register
Privacy First is verbaasd dat er geen aandacht is geweest voor de rol van “bijzondere persoonsgegevens” in transactiedata. Deze gegevens mogen alleen onder strikte voorwaarden gedeeld worden en moeten dus gefilterd kunnen worden. Ook consumenten die niet willen dat hun gegevens door anderen worden gedeeld met financiële dienstverleners moeten de mogelijkheid krijgen dit te voorkomen.

Daarom wil Privacy First een opt-out register voor PSD2, vergelijkbaar met het bel-me-niet-register: "Tijdens de uitzending van Radar kondigde Privacy First aan het initiatief voor dit voorstel te nemen, waarbij wij ernaar streven dit met de financiële sector en politiek verder te ontwikkelen. Het doel daarbij is dat het gebruik van een opt-out register verplicht wordt gesteld. De Europese PSD2-richtlijn zal hiervoor aangepast moeten worden."