Het aanbieden van financiële diensten is aan het veranderen. Waar het voorheen voorbehouden was aan de meer traditionele spelers zoals banken, verzekeraars en hypotheekverstrekkers, is er een grote opkomst van zogeheten Fintech-bedrijven (een afkorting voor Financial Technology). En om dit in goede banen te leiden is er nieuwe wetgeving PSD2 op komst die ook een grote privacy-impact heeft.
Fintech-bedrijven zijn er met name op gericht om het aanbieden van financiële diensten te automatiseren. Om deze organisaties meer ruimte te bieden bij het ontwikkelen en inzetten van innovatieve betaaldiensten, is er een nieuwe wet in ontwikkeling die ziet op de implementatie van de Europese richtlijn, die ook wel de PSD2-wet wordt genoemd. PSD staat voor Payment Services Directive en met deze PSD2-wet hoopt de Europese Unie één juridisch kader te scheppen voor het complete betalingsverkeer binnen de EU.
Nu het wetsvoorstel dat deze richtlijn in Nederland moet gaan implementeren onlangs naar de Tweede Kamer is gestuurd, wordt duidelijker wat de mogelijke gevolgen zijn van deze wet. Hoewel iedereen het er over eens lijkt te zijn dat het hebben van een efficiënt, stabiel en veilig grensoverschrijdend betalingsverkeer binnen de EU iets positiefs is, zijn er nog een aantal zaken onduidelijk, met eventuele nadelige consequenties voor de consument.
De voornaamste zorg bij de PSD2-wet zit hem in de ontwikkeling dat banken andere financiële dienstverleners toegang kunnen gaan geven tot de bankgegevens van hun klanten. Banken kunnen deze toegang verlenen nadat er toestemming is gegeven door de betreffende consument om de poorten te openen voor deze specifieke dienstverlener. Het is dan ook niet zo dat nadat je eenmaal toestemming gegeven hebt, banken jouw betaalgegevens lukraak kunnen gaan verstrekken aan alle financiële dienstverleners die hier interesse hebben en in het bezit zijn van de benodigde vergunning, verleend door De Nederlandsche Bank (DNB).
Toch is er nog veel onduidelijkheid over het geven van deze toestemming. Want hoewel de toestemming, ook volgens de in mei inwerking tredende AVG (Algemene Verordening Gegevensbescherming), voldoende duidelijk en expliciet moet zijn, is het maar de vraag wat hier uiteindelijk van terecht komt.
Het laten verdwijnen van de toestemmingsvraag in een grote lap tekst met voorwaarden, kan er namelijk voor zorgen dat de iets minder oplettende consument ja zegt tegen diensten waar hij of zij eigenlijk niet op zit te wachten of de gevolgen niet van kent. Hoewel dit de toestemmingsvraag onder de AVG ongeldig maakt, is het maar de vraag in hoeverre de Autoriteit Persoonsgegevens de kans geboden wordt om strikt toezicht te houden op deze zaken (iets waar ik later in deze blogpost dieper op zal gaan). Daarbij is het waarschijnlijk dat partijen die willen instappen in de betaaldienstverlening de grenzen van deze toestemmingsvraag op zullen zoeken.
Bovendien staat met de automatisering van het betalingsverkeer en de toegang tot de betaalgegevens van consumenten ook een andere randvoorwaarde voor het geven van toestemming op de tocht, namelijk dat deze toestemming vrij door de consument gegeven moet zijn. Dit houdt in dat hoewel je er op vooruit mag gaan wanneer je toestemming geeft, het weigeren van het geven van toestemming er dus niet voor mag zorgen dat je hier nadelige gevolgen van ondervindt.
Het is maar zeer de vraag hoe partijen als hypotheekverstrekkers in de toekomst om zullen gaan met de weigering van toegang tot betaalgegevens en financiële huishouding van consumenten. Het hebben van minder inzicht in de kredietwaardigheid van de consument kan namelijk een reden zijn om als hypotheekverstrekker voorzichtiger te zijn en een kleinere hypotheek aan de consument aan te bieden.
Daarnaast is het nog erg onduidelijk hoe om wordt gegaan met een daadwerkelijke weigering van consumenten. Want wat betekent de toestemming die wordt gegeven door bijvoorbeeld een zakenpartner of familielid aan wie ‘een weigerende consument’ regelmatig geld overmaakt? Worden de gegevens van de consument die geen toestemming heeft gegeven verwijderd uit een rekening- en betaaloverzicht, en hoe gaat dit dan precies in zijn werk?
Ook bestaan er bij de uitwerking van de PSD2-wet de inmiddels gebruikelijke zorgen over de inmenging van grote, machtige organisaties en bedrijven in de dan vrijer toegankelijke wereld van betalingsdienstverleners. Organisaties als Facebook en Amazon, die momenteel al veel persoonsgegevens verzamelen, zouden maar wat graag in bezit zijn van informatie over iemands huidige (en toekomstige) financiële situatie, om zo een nog beter beeld te krijgen van wie je bent, waar je interesses liggen en wat je kunt kopen.
De AVG vereist een grondslag voor de verwerking van persoonsgegevens vereist en is streng opgesteld ten aanzien van het gebruiken van persoonsgegevens voor meerdere doeleinden, maar het zou het niet de eerste keer zijn dat persoonsgegevens gebruikt worden voor doeleinden die vooraf niet expliciet aan de betrokkenen gemeld waren.
Met het bovenstaande in het achterhoofd is het belang groot dat toezichthoudende partijen, zoals de Autoriteit Persoonsgegevens, de kans geboden wordt om ook daadwerkelijk toezicht uit te oefenen op organisaties die in willen stappen in deze tak van sport en ze handvatten te bieden voor de juiste manier van handelen.
Het is daarom des te schrijnender dat er momenteel geen duidelijke rolverdeling is opgenomen in de PSD2-wet over de hiërarchieverhouding ten aanzien van de AVG. Dit is te verklaren doordat de PSD2-wet gaat over de implementatie van een Europese Richtlijn die stamt uit een tijd waarin de AVG nog niet van kracht was.
Dit is echter wel problematisch te noemen. De opvolger van de Wbp, is namelijk een verordening en daarmee, in tegenstelling tot de Wbp, direct afdwingbaar in de Europese Unie en geldt daarmee als de leidende vorm van wetgeving.
Gezien in de PSD2-wet ook zaken geregeld worden over privacyonderwerpen is het van belang dat er aan de buitenwacht snel duidelijkheid wordt verschaft over welke regels voorrang genieten. Het kan namelijk niet zo zijn dat partijen uitgaan van een apart geregeld privacyregime dat geldt voor de onderwerpen die in de PSD2-wet worden geregeld, terwijl de AVG als verordening gezien zou moeten worden als leidend waarbij niet DNB, maar de Autoriteit Persoonsgegevens bevoegd is tot het houden van toezicht (DNB is namelijk de toezichthouder op de naleving van de PSD2-wet).
Dit maakt dat alleen consumenten, maar ook geïnteresseerde partijen die klaar staan om in te stappen in deze vorm van dienstverlening, gebaat zijn bij meer helderheid. Dit verhelpt mogelijk niet alleen de angsten die spelen bij consumenten betreffende het eventuele verlies van grip op hun betaalgegevens, maar kan er ook voor zorgen dat instappende partijen de kans krijgen om te voldoen aan de daadwerkelijk geldende eisen op het gebied van privacy.
ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.