PSD2: hoe gaan onze toezichthouders controle uitoefenen?

Het heeft even mogen duren, maar het is nu dan toch echt zo ver. Met de publicatie van het genomen besluit omtrent de implementatiewet van de Payment Service Directive 2 (PSD2) in het Staatsblad van het Koninkrijk der Nederlanden – ja, zo officieel gaat dat – trad de PSD2 op 19 februari j.l. in werking. Om daarnaast nadere invulling te kunnen geven aan de rolverdeling ten aanzien van het toezicht op deze wet, publiceerden de twee toezichthouders, de Autoriteit Persoonsgegevens (AP) en De Nederlandsche Bank (DNB), eind vorige week aanvullend een samenwerkingsprotocol. Hiermee lijkt een langdurige periode van speculatie en getouwtrek over onder andere de invulling van het toezicht op deze wet ten einde, of toch niet?

PSD2: de implementatiewet

Als richtlijn (Payment Service Directive 2) zat een implementatiewet voor de PSD2 er al enige tijd aan te komen. Om tot wetgeving te kunnen komen die ook nationale werking heeft, dient een richtlijn namelijk allereerst omgezet te worden door de nationale wetgever. Lidstaten krijgen hierbij de ruimte om tot op zekere hoogte zelf invulling te geven aan normen die in deze richtlijn opgenomen zijn. Een uiteindelijke implementatiewet van de PSD2 was daarmee nodig om de regels ook binnen Nederland van kracht te laten zijn.

Met het in werking treden van de implementatiewet komen er belangrijke – en inmiddels roemruchte - regels bij in Nederland, die het onder meer mogelijk maken om als (commerciële) partij toegang te krijgen tot een betaalrekening van een consument. Deze toegang dient door banken verleent te worden na hiertoe gegeven toestemming door hun klanten. Er staan echter ook minder bekende regels in de implementatiewet. Zo worden er extra eisen gesteld aan de beveiliging van betaalomgevingen, en is een tweestapsverificatie van de consument in veel gevallen vereist bij online betalingen.

PSD2 hoofdstuk ‘1234…’: het samenwerkingsprotocol

Een heikel punt uit de PSD2 dat in Nederland nog lang open stond ter discussie, en tot vertraging leidde in het wetgevingsproces, was het toezicht op de naleving van de wet. De AP en DNB lijken ook na het in werking treden van de implementatiewet nog niet helemaal gerust over de rolverdeling bij dit toezicht. De behoefte aan nadere invulling hiervan heeft dan ook geresulteerd in het publiceren van een samenwerkingsprotocol.

Het samenwerkingsprotocol werd door beide partijen ondertekend om ervoor te zorgen dat het toezicht op de naleving van de PSD2 “effectief en efficiënt” zal verlopen, aldus de AP. Hoewel de inhoud van deze geschetste rolverdeling ogenschijnlijk voor de hand liggend is en er regelmatig open deuren worden ingetrapt, geeft het een interessant inkijkje in de wijze waarop beide partijen elkaar assisteren bij dit toezicht. Met name de wijze waarop DNB een oogje in het zeil zal gaan houden ten aanzien van de handhaving van de AVG bij het vergunningsproces, is interessant te noemen.

Verplichte DPIA en andere taken

Het protocol bevat een aantal interessante punten en lijkt met name gericht te zijn op het stroomlijnen van de raakvlakken tussen de AVG en de PSD2. Een voorbeeld hiervan is artikel 3 uit het protocol. Hoewel afgetrapt wordt met één van de hierboven genoemde open deuren (waarin wordt afgesproken dat DNB met de AP in contact kan treden wanneer binnen het bedrijfsmodel van de vergunning aanvrager persoonsgegevens worden verwerkt), wordt het artikel interessant wanneer we bij het tweede lid belanden. In dit lid wordt namelijk nog maar eens het belang van en de verplichting tot het uitvoeren van een – ja daar komt het - gegevensbeschermingseffectenbeoordeling (ook wel DPIA, of PIA) benadrukt.

In het geval DNB bij een vergunningsaanvraag van een toetredende partij signaleert dat er sprake is van een verwerking van persoonsgegevens, waarbij een hoog risico onvoldoende beperkt wordt, dan zal DNB dit aan de AP melden. Het is voor vergunning aanvragers dus extra belangrijk om deze DPIA voorafgaand aan de vergunningaanvraag uit te voeren, om zo de aanvraag soepeltjes te kunnen laten verlopen (naast de initiële verplichting hiertoe vanuit de AVG).

Ook zullen de toezichthouders samen gaan werken op enkele andere punten. Zo zal de AP DNB informeren over gemelde datalekken indien deze een betaaldienstverlener betreffen. Wat mij doet afvragen welke informatie ze hierbij aan DNB gaan doorspelen. In het geval deze info een onvolledig beeld schetst, kan dit namelijk leiden tot onterechte verdachtmaking van partijen die in staat zijn datalekken te herkennen en deze ook netjes aan de AP melden. Daarnaast zullen de toezichthouders gezamenlijk in overleg treden op het moment dat ze voornemens zijn boetes uit te delen. Zo zal de AP contact opnemen met DNB in het geval zij een AVG-boete gaat opleggen aan een betaaldienstverlener, en zal DNB contact opnemen met de AP wanneer een betaaldienstverlener beboet gaat worden ‘in het geval en voor zover daarbij de verwerking van persoonsgegevens aan de orde is’.

Werk aan de winkel

Gelet op al het bovenstaande is er dus flink wat werk aan de winkel voor beide toezichthouders (en vergunning aanvragers) en zullen er korte lijntjes onderhouden moeten worden om de samenwerking efficiënt te laten verlopen. Mede gelet hierop zullen beide partijen periodiek met elkaar om de tafel gaan zitten om te evalueren of de samenwerking nog goed loopt, en/of dat het protocol hierop aangepast dient te worden. Zo zal PSD2 dus niet alleen inspanningen vergen van partijen die azen op een vergunning, maar verhoogt de richtlijn in haar slipstream ook de werkdruk bij deze toezichthouders. En was deze niet al hoog genoeg om effectief te kunnen blijven handhaven? Duidelijk is in ieder geval dat hiermee een interessante periode aanbreekt in dit werkveld.

Terug naar overzicht