PSD2 en de GDPR: privacy paradox?

Het stof van de General Data Protection Regulation (GDPR) of Algemene Verordening gegevensbescherming (AVG) begint langzaam neer te dalen en de maatschappelijke impact van deze wet wordt steeds beter zichtbaar. Interessant is de vraag: hoe verhoudt deze wet zich tot andere wetgeving die over persoonsgegevens gaat? Meer specifiek: hoe verhoudt de GDPR zich tot de nieuwe EU-richtlijn Payment Services Directive 2 (PSD2), die het delen van persoonsgegevens juist moet bevorderen? Is hier sprake van een privacy paradox?

Na invoering van deze richtlijn kunnen organisaties met een vergunning als betaalinstelling inzage krijgen in betaalgegevens van rekeninghouders. Dit biedt organisaties grote kansen; door betalingsgegevens te analyseren en combineren kunnen zij consumenten nieuwe, innovatieve diensten bieden. Maar er zitten tevens grote (privacy) risico’s in verscholen. Zijn deze kansen en risico’s wel te verenigen voor organisaties die een vergunning willen verkrijgen of behouden?

Wat is PSD2?

PSD2 is een nieuwe Europese richtlijn gericht op het betalingsverkeer in Europa. De wet kent vijf doelen:

  • De concurrentie in de Europese betaalmarkt bevorderen.
  • Innovaties in het betalingsverkeer beter mogelijk maken.
  • De consumenten beter beschermen.
  • De veiligheid van betalingen vergroten.
  • Bijdragen aan één Europese betaalmarkt.

Door de nieuwe wetgeving kunnen nieuwe typen betaalinstellingen worden toegelaten tot het betalingsverkeer. Zowel banken als nieuwe of bestaande betaalinstellingen kunnen op basis van de verkregen gegevens nieuwe diensten aanbieden. De wet staat analyses op consumenten- en uitgavegedrag toe. Het  doel is dat op deze manier meer concurrentie en innovatie ontstaat op het gebied van financiële en betaalservices voor consumenten. Kortom, de wet heeft als doel op een uniforme, betrouwbare wijze innovatie aan te jagen voor de markt van betalingsverkeer. Meer weten over de nieuwe richtlijn? Kijk dan hier.

PSD2 versus GDPR

Zoals uit de doelstellingen hierboven duidelijk blijkt: PSD2 streeft, net als de GDPR, naar een betere consumentenbescherming. Beide wetten stellen hoge eisen aan de beveiliging (van de persoonsgegevens). Echter, waar PSD2 om open toegang vraagt tot (vertrouwelijke) transactiegegevens, legt de GDPR juist striktere eisen op ten aanzien van het mogen delen van deze gegevens en beveiliging.

Profiling

De toegang tot betalingsgegevens van consumenten wordt ook wel XS2A (access2accounts) genoemd. Nieuwe diensten die hiermee mogelijk zijn, blijven niet beperkt tot het tonen van transactiegegevens of huishoudboekjes. Echte innovatie komt van slimme algoritmes, op basis waarvan profielen worden gecreëerd om persoonlijke aanbiedingen te doen en (consumenten)gedrag te vergelijken en te voorspellen. Daarvoor worden gegevens gekoppeld met andere gegevens. De GDPR stelt zware eisen aan dit ‘profilen’. Organisaties die een vergunning willen aanvragen of behouden om toe te treden tot deze markt, moeten aantoonbaar aan de vereisten van de PSD2 én GDPR voldoen.

Hoe gaat een (nieuwe) betaaldienstverlener hiermee om?

Wanneer u als nieuwe betaaldienstverlener van plan bent om een vergunning aan te vragen inclusief XS2A, dan is het verstandig om vanaf het begin rekening te houden met de volgende vereisten:

  1. De juiste toestemming (consent) krijgen van de rekeninghouder;
  2. De beveiliging en compliance.

1. Toestemming (consent)

Het verlenen van toegang tot de betaalrekening is voor een bank verplicht als de rekeninghouder hiervoor toestemming heeft gegeven aan de betaaldienstverlener. De GDPR stelt drie belangrijke (maar niet-uitputtende) voorwaarden voor geldige toestemming. Deze dient:

  • Vrij gegeven zijn en te alle tijde weer in te trekken zijn;
  • Specifiek en geïnformeerd zijn. Het moet voor de betrokkenen direct duidelijk zijn wat er met de gegevens gebeurt: worden deze bijvoorbeeld gebruikt voor advertentiedoeleinden of profiling?
  • Waar mogelijk granulair zijn: de rekeninghouder moet specifiek aan kunnen geven voor welk gebruik hij zijn persoonsgegevens wel en niet ter beschikking stelt en/of welke gegevens hij hiervan wenst uit te sluiten.

Daarnaast moet op ieder moment aangetoond kunnen worden dat aan alle vereisten van consent en de GDPR voldaan is. Dit vraagt om goed beleid en een slimme administratie.

2. Beveiliging en compliance

PSD2 verplicht nieuwe betaalinstellingen een vergunning te verkrijgen via een toezichthouder in Nederland of een ander land in de Europese Unie. Ook beschrijft zij aan welke toezichteisen de instelling moet voldoen, onder meer op het gebied van gegevensbescherming. PSD2 definieert een aantal technische normen. Deze normen gaan nog verder in op de beveiliging van transacties en de (technische) communicatie tussen de bank en de nieuwe partijen (API’s).

Is er sprake van een privacy paradox?

Resumerend kan er gesteld worden dat PSD2 en GDPR geen wetten zijn die elkaar bijten wanneer aan de (strenge) voorwaarden van beveiliging en toestemming wordt voldaan, zoals hierboven geschetst.

Organisaties die een en ander meteen goed regelen, zullen minder belemmeringen ervaren van toezichthouders en hebben straks een voorsprong in de markt. Om compliant te zijn en te blijven, wordt daarmee impliciet van betaaldienstverleners verwacht dat zij beschikken over brede kennis en kunde. Wanneer zij intern niet over de benodigde expertise beschikken, zullen experts ingeschakeld moeten worden.

Meer informatie

Wilt u meer informatie over de implicaties van PSD2 voor uw organisatie, in het algemeen of met betrekking tot de GDPR? Of wilt u ondersteuning bij een vergunningsaanvraag? Neem dan vrijblijvend contact met mij op.

Meer algemene informatie over PSD2 vindt u ook in dit bericht en de factsheet die we maakten.

Neem contact op