Alweer bijna een jaar geleden schreef ik over de nieuwe betaalwet die eraan zat te komen: de Nederlandse implementatiewet van de PSD2. In het tussenliggende jaar leken er niet gek veel nieuwe stappen gezet te worden om tot een daadwerkelijke implementatie van de PSD2 te komen (een vloedgolf aan discussie over de wet daargelaten).
Met het aannemen van de Nederlandse implementatiewet van de Payment Service Directive 2 – de PSD2 dus – door de Tweede Kamer, en een mogelijk spoedige goedkeuring van het wetsvoorstel door de Eerste Kamer, staat weinig de implementatie meer in de weg. Hoog tijd dus voor één van de toezichthouders op deze wet, de Autoriteit Persoonsgegevens, om haar licht te laten schijnen over het privacytoezicht met betrekking tot de PSD2.
Voor een ieder die zich nu afvraagt wat de PSD2 inhoudt geef ik graag een korte stoomcursus (en verwijs ik ook u naar mijn vorige blog). Met het oog op de snelle ontwikkelingen in de wereld van de financiële dienstverlening (consumenten kopen almaar meer producten en nemen diensten af vanuit de luie stoel thuis), was er vanuit de markt behoefte aan verandering en vooral meer mogelijkheden. Zo is de wijze van het aanbieden van financiële diensten al jaren in ontwikkeling. Waar dit voorheen voorbehouden was aan de meer traditionele spelers zoals banken, verzekeraars en hypotheekverstrekkers, is er de laatste jaren een grote opkomst van zogeheten Fintech-bedrijven (een afkorting voor Financial Technology). Deze Fintech-bedrijven willen maar wat graag innoveren op het vlak van financiële dienstverlening, en staan bovendien klaar om deze verder te automatiseren.
De richtlijn voorafgaand aan de PSD2 (jawel, de PSD1) was al enige tijd verouderd en wierp voornamelijk blokkades op ten aanzien van deze geplande vernieuwingen. Vandaar dat het ontwerp van de PSD2 onvermijdelijk was. Middels de PSD2 wordt onder meer geregeld onder welke voorwaarden innovatieve betaaldiensten zich op de betaalmarkt mogen roeren. Zo dient Facebook, om het haar gebruikers mogelijk te maken vrienden via een privébericht betaalverzoeken te sturen en hen deze daar ook te laten betalen (om een betaalverzoek via Tikkie overbodig te maken), aan een aantal eisen te voldoen. Zo zal het in het bezit moeten zijn van een Europese licentie om dergelijke financiële diensten aan te mogen bieden. Een licentie die in Nederland uitgegeven wordt door De Nederlandse Bank (DNB). Om daarna ook daadwerkelijk toegang te krijgen tot jouw financiële gegevens dient Facebook allereerst ook nog jouw uitdrukkelijk gegeven toestemming te ontvangen.
Daarnaast is er in de wet aandacht besteed aan de macht die betrokkenen hebben over hun betaalgegevens, zo dient een ieder te allen tijde de mogelijkheid te hebben om (in lijn met de AVG) zijn of haar reeds gegeven toestemming in te trekken. Veel van deze punten hebben de afgelopen periode voor discussie én vertraging gezorgd ten aanzien van (het bepalen van) de inhoud van de implementatiewet.
De meeste discussie betrof echter de wijze waarop toezicht gehouden zou worden op de naleving van de wet. Waar in een eerder ontwerp van de Nederlandse implementatiewet ervoor gekozen werd om een deel van het toezicht op de bescherming van persoonsgegevens onder de PSD2 te laten verzorgen door DNB, is uiteindelijk besloten om (na aandringen van de AP) dit toch volledig door de Nederlandse privacytoezichthouder, de AP, te laten doen. Maar mag de AP op dit vlak nu autonoom handhaven? En hoe gaat ze dat dan doen?
Na haar zienswijze geleverd te hebben aan de minister van Financiën ten aanzien van het eerdere wetsvoorstel ter implementatie van de PSD2, heeft de AP nu een Q&A op haar website geplaatst ter verduidelijking van het door de Tweede Kamer aangenomen wetsvoorstel. En dat lijkt, mede gelet op de bovengenoemde discussie, hoogst nodig.
Zo komt uit de set algemene vragen naar voren dat het toezicht ten aanzien van de privacybescherming van de burger volledig bij de AP ligt. Wel geeft de AP uiteraard aan samen te zullen werken met de overige toezichthouders DNB, de ACM en de AFM, om effectief toezicht te borgen.
Verder zijn de vragen opgesplitst tussen vragen vanuit de hoek van de betaaldienstverleners en die van de consument. De AP grijpt hierbij met name de kans om uitvoerig uitleg te geven over de eerder genoemde wijze waarop betaaldienstverleners om toestemming dienen te vragen, waarbij de uitleg hiervan aansluit bij het begrip van ‘uitdrukkelijke toestemming’ onder de AVG. En dat betekent dat de toestemming vrij, ondubbelzinnig en apart gevraagd, geïnformeerd, specifiek en intrekbaar moet zijn. Daarbij zal de betaaldienstverlener altijd moeten kunnen aantonen dat er op een geldige wijze toestemming is verkregen.
Om aan de bovenstaande eisen te voldoen, dient een betaaldienstverlener toestemming te vragen door middel van bijvoorbeeld een aparte checkbox of een pop-up in een ander venster. De vraag voor toestemming mag dus niet ergens verstopt zitten in een lap tekst. Ook mag de toestemming niet impliciet verkregen worden bij het aangaan van een andere overeenkomst met de betreffende betaaldienstverlener. De betaaldienstverlener kan hierbij alleen toestemming vragen voor de toegang tot het verwerken van de persoonsgegevens die daadwerkelijk noodzakelijk zijn voor het aanbieden van de betreffende betaaldienst.
Overigens geldt deze uitdrukkelijke toestemming niet in het geval de dienstverlening alleen ziet op het aanbieden van een rekeninginformatiedienst (zoals het aanbieden van een digitaal huishoudboekje). In dat geval dient de consument ‘uitdrukkelijk in te stemmen’. Behalve dat dit dient te gebeuren via een autorisatie die slechts 90 dagen ‘houdbaar’ is, geeft de AP weinig informatie over de nadere voorwaarden waar de vraag naar instemming aan dient te voldoen en of deze gebaseerd is op dezelfde voorwaarden als uitdrukkelijke toestemming onder de AVG.
Behalve de voorwaarden omtrent uitdrukkelijke toestemming worden ook verschillende andere belangrijke punten besproken, zoals de acties die ondernomen kunnen worden wanneer betaalgegevens worden gebruikt zonder (bedoelde) gegeven toestemming en het intrekken van toestemming.
Hoewel de Q&A zoals gezegd uitvoerig is en de meest belangrijke onderwerpen helder uiteenzet, bestaan er ook na deze vraag- en antwoordsessie nog onduidelijkheden ten aanzien van de PSD2 en privacy.
Hoewel er in de Q&A namelijk wel een aparte vraag bestaat over gegeven toestemming van een ander en eventuele bijvangst, blijft het nog maar de vraag hoe dit in de praktijk zijn uitwerking zal vinden. Waar betaaldienstverleners niet meer gegevens van mij in mogen zien dan noodzakelijk bij de uitvoering van een aan mij gerichte betaling (waarbij niet ik, maar de initiator van deze betaling toestemming geeft), en er ook toestemming van mij nodig is voor commercieel gebruik van deze gegevens, lijkt deze waarborg iets te mooi om waar te zijn.
Immers, het is de vraag hoe dit praktisch gezien ingericht wordt en of betaaldienstverleners niet altijd inzicht zullen houden in de gegevens van derden. Deze bijvangst kan net het ontbrekende puzzelstukje zijn van nieuwe betaaldienstverleners om een nog completer beeld te vormen van consumenten. Met name wanneer de PSD2 het ook aan partijen als Facebook en Google mogelijk maakt om zich op deze markt te gaan roeren.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.