"Vergeet je straks geen Tikkie te sturen?"
Betaalverzoeken zijn al jaren niet meer uit onze maatschappij te denken. Waar het voorheen alleen tussen familie en vrienden werd gebruikt, komt het nu steeds vaker voor dat commerciële bedrijven op een markt of beurs hun klanten met een Tikkie laten afrekenen. De combinatie van financiële diensten met technologische ontwikkelingen heet fintech. De herziene richtlijn betaaldiensten, beter bekend als de second Payment Service Directive (‘PSD2’), heeft als doel een klimaat te creëren waarin de fintech-industrie goed kan gedijen. Tegelijkertijd hebben de meesten al eens gehoord van de AVG, de Algemene verordening gegevensbescherming. In deze blog lees je in een notendop hoe de PSD2 zich verhoudt tot de AVG en wanneer gegevensverwerkingen in de financiële dienstverlening rechtmatig zijn.
Maar eerst: wat is de PSD2 eigenlijk? Dit is de herziening van de richtlijn over betaaldiensten in de interne markt en opent sinds 2015 de deuren voor fintech-ondernemers. Met een PSD2-vergunning kan een organisatie namelijk in elk lidstaat haar betaaldiensten aanbieden.
Verder heeft de PSD2 ook een nieuwe betaaldienst geïntroduceerd, namelijk de rekeninginformatiedienst. Denk bijvoorbeeld aan een app die jouw financiële huishouden bijhoudt door jouw transacties te analyseren. Dit soort rekeninginformatiedienstverleners zijn derde-aanbieders. Dit zijn betaaldienstverleners die op geen enkele wijze over het geld van hun gebruikers kunnen beschikken.
Een andere derde-aanbieder is de betaalinitiatiedienstverlener. Op verzoek van de betaaldienstgebruiker initiëren zij een betaalopdracht bij de betaalrekening van de betaaldienstgebruiker. Hier wordt vaak gebruik van gemaakt bij online aankopen. Banken en andere rekeninghoudende betaaldienstverleners zijn verplicht om derde-aanbieders toegang tot de betaalrekening van betaaldienstgebruikers te geven. Dit moet alleen als de betaaldienstgebruiker daadwerkelijk gebruik maakt van de betaaldiensten van de derde-aanbieder in kwestie. Om niet te veel uit te wijden staan alleen de derde-aanbieders centraal in deze blog.
Een andere verandering sinds de PSD2 is de verplichting om sterke cliëntauthenticatie in te voeren, ook bekend als multifactorauthenticatie. Dit houdt in dat je naast de aan elkaar gekoppelde gebruikersnaam en wachtwoord nog een tweede actie moet verrichten ter bevestiging van jouw identiteit. Dit kan bijvoorbeeld door een code per sms te verzenden welke online moet worden ingevoerd voor een succesvolle inlogpoging. Zo wordt de kans op fraude voor alle betaaldienstgebruikers een stuk kleiner. Met name betaalinitiatiedienstgebruikers zijn gebaat bij goede accountbeveiliging, omdat toegang van kwaadwillende partijen kan leiden tot vermogensverlies. In het verlengde hiervan heeft de Europese Centrale Bank technische normen voor de sterke cliëntauthenticatie opgesteld, te vinden in gedelegeerde verordening (EU) 2018/389 van 29 november 2017.
In de PSD2 is ook een bepaling opgenomen die ziet op gegevensbescherming. Volgens dit artikel is uitdrukkelijke toestemming voor toegang tot persoonsgegevens vereist, voordat de betaaldienstverlener haar betaaldiensten aanbiedt. Dit zorgde voor verwarring, omdat de AVG een onderscheid maakt tussen toestemming en uitdrukkelijke toestemming. Ter verduidelijking heeft de European Data Protection Board (‘EDPB’) eind 2020 haar interpretatie van de relevante begrippen uit de PSD2 en AVG gepubliceerd. In de richtsnoeren gaat de EDPB dieper in op de privacyrechtelijke grondslag voor PSD2-verwerkingen en andere belangrijke onderwerpen uit de AVG.
Vanuit de AVG mogen gegevensverwerkingen alleen plaatsvinden als daar een grondslag voor is. Betaaldienstverleners mogen in drie situaties persoonsgegevens verwerken:
Derde-aanbieders (vooral rekeninginformatiedienstverleners) kunnen ook bijzondere persoonsgegevens verwerken. Zij hebben immers toegang tot alle transacties en kunnen daarmee ook makkelijk conclusies trekken. Zo is het bijna vanzelfsprekend dat iemand die wekelijks aan de kerk doneert christelijk is. Of dat iemand met een Grindr-abonnement, een dating-app voor homoseksuele mannen, niet heteroseksueel is. Bijzondere persoonsgegevens mogen niet worden verwerkt tenzij er sprake is van een uitzondering en er een geldige grondslag van toepassing is. Hierdoor is ‘normale’ toestemming niet voldoende. Betaaldienstverleners kunnen op basis van uitdrukkelijke toestemming wél bijzondere gegevens verwerken. Bij uitdrukkelijke toestemming mag er bij zowel de betaaldienstverleners als de betaaldienstgebruiker geen twijfel zijn dat de betaaldienstgebruiker heeft ingestemd met het verwerken van bijzondere persoonsgegevens. Toestemming moet in alle gevallen, uitdrukkelijk of niet, met een actieve handeling en zonder dwang zijn gegeven.
Zoals eerder vermeld hebben betaaldienstverleners vanuit de PSD2 eerst uitdrukkelijke toestemming van de betaaldienstgebruiker nodig. Hiermee wordt niet de uitzondering voor het verwerken van bijzondere gegevens in de AVG bedoeld. De EDPB legt uit dat de toegang tot persoonsgegevens centraal staat in de uitdrukkelijke toestemming van de PSD2. Door betaaldienstverleners toegang tot de betaalrekening te verlenen geven betaaldienstgebruikers toestemming voor het verwerken van die gegevens. De onderlinge overeenkomst tussen betaaldienstgebruikers en betaaldienstverleners stellen de voorwaarden voor de toegang vast. Hierdoor is de uitdrukkelijke toestemming in artikel 94 (2) van de PSD2 contractueel van aard en moet deze worden gezien als aanvullende eis naast de wettelijke grondslagen uit de AVG.
Uitdrukkelijke toestemming is niet voor rekeninginformatiediensten vereist. Zij kunnen namelijk ook persoonsgegevens van derden verwerken, denk bijvoorbeeld aan een betaaldienstgebruiker die zijn moeder financieel ondersteunt. Rekeninginformatiedienstverleners zullen dan ook de uitgaande betalingen naar zijn moeder verwerken, zonder haar vooraf gegeven toestemming. De grondslagen ‘toestemming’ en ‘noodzakelijk voor de uitvoering van een overeenkomst’ bieden hier geen soelaas, maar daarover straks meer.
Een andere overlap tussen de PSD2 en de AVG is de term ‘gevoelige betaalgegevens’ in de PSD2. De EDPB erkent dat bijzondere gegevens ook als gevoelig worden omschreven, maar stelt vast dat het bij gevoelige betaalgegevens gaat om informatie waarmee fraude kan worden gepleegd. Dit staat dus los van bijzondere gegevens zoals bedoeld in de AVG.
We hebben het net al even gehad over derden. Dit zijn de natuurlijke personen die geen gebruik maken van de diensten van een specifieke betaaldienstverlener, maar van wie er wel persoonsgegevens worden verwerkt. Deze derdengegevens mogen worden verwerkt op grond van het gerechtvaardigd belang van de betaaldienstverlener. De rechten en fundamentele vrijheden van derden mogen niet in gevaar komen, in dat geval weegt het belang van de derde zwaarder dan de belangen van de derde-aanbieder. Dit zou bijvoorbeeld het geval kunnen zijn wanneer er op basis van heel veel derdengegevens een duidelijk profiel over derden kan worden gemaakt.
Er is dus een aantal grondslagen waar betaaldienstverleners zich op kunnen beroepen. Maar wat als er geen wettelijke grondslag te vinden is, bijvoorbeeld wanneer de belangen van derden zwaarder wegen dan die van de rekeninginformatiedienstverlener? De EDPB benadrukt in zulke gevallen de ernst van passende technische maatregelen. Betaaldienstverleners moeten zoeken naar manieren om onrechtmatige verwerkingen te voorkomen, bijvoorbeeld door filters toe te passen bij de extractie van financiële gegevens.
De richtsnoeren van de EDPB geven meer duidelijkheid over de wisselwerking tussen de PSD2 en de AVG. Na een evaluatie van de implementatie van de PSD2 is gebleken dat er wijzigingen nodig zijn, met het in juni 2023 gepubliceerde wetsvoorstel voor de PSD3 als gevolg. Wat dit betekent voor gegevensbescherming in de fintech-industrie? Dat lees je in ons volgende blog. Wil je meer weten over privacy in de betaaldienstverlening? Neem dan contact op met een van onze experts.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.