De gevolgen van de Europese bankenwet PSD2
Vanaf 19 februari wordt in Nederland PSD2 van kracht (Payment Service Directive 2). Met deze nieuwe Europese bankenwet kunnen consumenten hun bankgegevens delen met andere partijen dan hun eigen bank.
Hiervoor moet de consument eerst uitdrukkelijke toestemming geven. Hierna moet de bank alle transactiedata van de consument (rekeninghouder) met een externe partij (financiële dienstverlener) delen voor een periode van 90 dagen, waarna de consument zijn toestemming kan vernieuwen. Tevens kan de consument zijn toestemming op ieder moment intrekken.
De wet is teveel gericht op het verbeteren van mededinging en innovatie en het privacybelang van de rekeninghouders is uit het oog verloren. De grootste bezwaren zijn:
- Consumenten kunnen de hoeveelheid bankgegevens niet beperken. Zelfs als een financiële dienstverlener deze gegevens niet nodig heeft, wordt na het geven van toestemming toch alle data gedeeld.
- In de bankgegevens van een consument staan ook de gegevens van andermans tegenrekening. Deze persoon weet niet dat zijn gegevens gedeeld worden en kan dit ook niet verhinderen. Doordat de transactiedata via Big Data en data-analyses veel breder geanalyseerd zullen worden dan voor de inwerkingtreding van PSD2 ontstaan grote risico’s op privacyschendingen.
- Bankgegevens bevatten “bijzondere persoonsgegevens” die alleen onder strikte voorwaarden verwerkt mogen worden. Een contributiebetaling aan een vakbond, politieke partij of organisatie die seksuele voorkeur onthult, moet gezien worden als bijzonder (gevoelig) persoonsgegeven.
- Ook transacties met zorgverleners en apotheken moeten als bijzondere persoonsgegevens worden gezien. Op dit moment bestaat geen mogelijkheid deze gegevens te filteren en worden ze verstrekt aan partijen die deze gegevens niet mogen verwerken.
De ACM zal op een deel van de betaalrichtlijn toezicht houden.Zij hield al toezicht op het berekenen van toeslagen voor het gebruik van een betaalmiddel. Dit zal met de invoering van PSD2 iets veranderen. Voor het grootste deel van de betaaltransacties mogen winkeliers straks geen toeslagen meer in rekening brengen voor het gebruik van het betaalmiddel. Winkeliers mogen zo alleen nog de werkelijke kosten in rekening brengen.
PSD2-me-niet-register
Er is geen aandacht geweest voor de rol van “bijzondere persoonsgegevens” in transactiedata. Deze gegevens mogen alleen onder strikte voorwaarden gedeeld worden en moeten dus gefilterd kunnen worden.
Ook consumenten die niet willen dat hun gegevens door anderen worden gedeeld met financiële dienstverleners moeten de mogelijkheid krijgen dit te voorkomen. Daarom wil Privacy First een opt-out register voor PSD2, vergelijkbaar met het bel-me-niet-register.
Het doel daarbij is dat het gebruik van een opt-out register verplicht wordt gesteld. De Europese PSD2-richtlijn zal hiervoor aangepast moeten worden.
Privacy First/Security
- Aanvullende informatie: het gaat om alle transactiedata. Hoe ver deze gegevens terug gaan verschilt per bank. Zie het overzicht van de Consumentenbond: Meerderheid bewaart rekeningafschriften ten minste 5 jaar https://www.consumentenbond.nl/betaalrekening/meerderheid-bewaart-rekeningafschriften-ten-minste-5-jaar.
- Aanvullende informatie: dit is opgenomen in artikel 9 AVG en art. 22 UAVG. Kortgezegd is de verwerking van bijzondere persoonsgegevens verboden, tenzij. Zie https://wetten.overheid.nl/BWBR0040940/2018-05-25.