PSD2 en Privacy: Waar moet u op letten?

Onlangs is de Payment Service Directive 2 ( PSD2), van kracht gegaan. De PSD2 is een herziene versie van de Europese richtlijn voor betaaldiensten.

Waarom is deze herzien?

Dit heeft te maken door de veranderingen in de markt en de komst van nieuwe en innovatieve spelers. De richtlijn heeft namelijk als doel om de wet- en regelgeving te moderniseren, het betalingsverkeer binnen Europa te verbeteren en ruimte te creëren voor nieuwe en innovatieve spelers die kunnen bijdragen aan een effectievere en transparantere wijze van het doen van betalingen.

Hiermee introduceert de richtlijn ook een nieuw soort gereguleerde dienstverleners. Daarnaast worden de vergunningsvereisten voor betaaldienstverleners ook uitgebreid. De jarenlange monopolie die banken op betaalgegevens hadden is hiermee ten einde.

Dat houdt dus in dat in dat betaaldiensten voorts je gegevens mogen opvragen bij banken. Met uw privacy in gedachte…Is dat wel zo handig? En hoe is dat nou precies geregeld?

De AVG is sinds 25 mei 2018 in werking getreden om de persoonsgegevens van o.a. consumenten beter te beschermen. Hierin wijkt de PSD2 niet af. Beide wetten stellen hoge eisen aan de beveiliging van de persoonsgegevens. Ze wijken wel af bij het delen van persoonsgegevens. De AVG stelt juist striktere voorwaarden aan het delen van persoonsgegevens met o.a. derde partijen. De PSD2 vraagt juist om open toegang en daarom dus voor het delen van persoonsgegevens. Nogal tegenstrijdig..

Toegang tot uw betalingsgegevens?

Toegang tot betalingsgegevens van consumenten wordt in de wet aangeduid als XS2A (access2accounts). Diensten die hierdoor ontwikkeld worden zullen dus uitgebreider zijn dan slechts het tonen van transactie- en betaalgegevens. Zo zullen er slimme algoritmes ingezet worden die op basis van persoonsprofielen worden gecreëerd om bijv. persoonlijke advertenties te tonen en gedragingen van consumenten te voorspellen en te vergelijken.

De AVG stelt zeer strikte voorwaarden aan ‘profiling’. Dit mag alleen onder bepaalde voorwaarden en onder zeer duidelijke en transparante informatie en berichtgeving geschieden. Doet men dit niet dan, zijn zij al snel in overtreding (!).

Beide wetten verschillen erg veel van elkaar. En de crux zit ‘m juist daarin: om een vergunning te verkrijgen, dient een organisatie aan de vereisten van zowel de AVG als de PSD2 te voldoen

De PSD2 en uw organisatie

Bent u van plan bent om een nieuwe betaaldienstverlener te worden? Dan dient u een vergunning (inclusief XS2A) wilt aanvragen. U dient dan o.a. rekening te houden met de volgende vereisten op het gebied van privacy:

  1. Een geldige toestemming krijgen van de rekeninghouder;
  2. Voldoende waarborgen met betrekking tot beveiliging en compliance.

Hieronder worden de vereisten kort uitgelegd. Belangrijk hierbij is dat dit een algemene uitleg is en dat de praktijk vaak om een maatwerk oplossing vraagt. Elke situatie is namelijk anders.

Geldige toestemming van de rekeninghouder

Om toegang te krijgen tot vrij gevoelige gegevens zoals een betaalrekening, dient een organisatie verplicht een geldige toestemming te vragen aan de rekeninghouder. De bank is dan verplicht om toegang te geven als deze geldig is verkregen. Voor een geldige toestemming stelt de AVG strenge eisen aan. Deze zijn als volgt:

  • Vrijelijk gegeven zijn, en dient ten alle tijden weer in te trekken te zijn;
  • Specifiek zijn, het moet direct duidelijk zijn waar een rekeninghouder zijn toestemming voor geeft. De gegevensverwerking dient dan ook voor slechts het toegestemde doeleinde gebruikt te worden;
  • Op basis van informatie gegevens zijn. De rekeninghouder moet begrijpen wat er met zijn of haar gegevens gebeurt.
  • ‘Best practice’ is dat de toestemming in lagen is opgebouwd: de rekeninghouder moet net als bij een cookiemelding exact kunnen aanvinken waar hij of zij wel toestemming voor geeft en welke verwerkingen uitgesloten zijn.

Als betaaldienstverlener moet je daarnaast op ieder moment kunnen aantonen dat er voldaan is aan de eisen van de AVG. Een goede administratie en een helder beleid is daarom een must.

Beveiliging en compliance

Vanuit de wet worden nieuwe spelers verplicht een vergunning te krijgen via de toezichthouder in Nederland of een ander Europees land. Deze hebben een lijst met voorwaarden waar een nieuwe betaaldienstverlener aan moet voldoen, met name op het gebied van gegevensbescherming. Vanuit de wet zelf worden met name technische normen gedefinieerd op het gebied van beveiliging van transacties en de communicatie tussen de bank en nieuwe partijen op basis van API-calls.

PSD2 en Privacy.

Concluderend, lijkt het erop dat een organisatie behoorlijk wat maatregelen dient te nemen om te voldoen aan enerzijds de AVG en anderzijds de PSD2. Organisaties die hetgeen vanaf het begin goed regelen zullen in een later stadium minder last hebben van toezichthouders en een voorsprong hebben op de overige spelers in de markt.

Compliant zijn vergt een specifieke kennis en kundigheid en daarvoor is het van belang dat betaaldienstverleners hierover beschikken. Wanneer dit intern niet beschikbaar is, dienen expert ingeschakeld te worden. Privalliance helpt organisaties al jaren met uit een lopende problemen op het gebied van recht en technologie. Door middel van intensieve samenwerkingen met organisaties en een groep van diverse branchespecialisten bent u gegarandeerd van een praktisch werkbare oplossing.

Voor vragen of meer informatie komen we graag in contact met u middels onze contactformulier.