Autoriteit Persoonsgegevens gaat PSD II-ver­gun­nin­gen onder de loep nemen

Bent u er klaar voor?

Blog

Published 5 maart 2020 Reading time min Auteur Saskia Vermeer – de Jongh Digital, Cyber & Privacy

Betaaldienstaanbieders moe­ten bedacht zijn en moe­ten nu maat­re­ge­len nemen

Op 24 febru­a­ri 2020 heeft de Autoriteit Persoonsgegevens (AP) aangekondigd een onder­zoek te star­ten naar Nederlandse betaal­in­stel­lin­gen met een PSD II-ver­gun­ning voor het aan­bie­den van reke­ning­in­for­ma­tie­dien­sten. Voorbeelden van der­ge­lij­ke bedrij­ven zijn par­tij­en die onli­ne huis­houd­boek­jes aan­bie­den aan hun klan­ten om diens (peri­o­die­ke) beta­lin­gen inzich­te­lijk te maken of die auto­ma­tisch inzich­te­lijk maken of bepaal­de abon­ne­men­ten (e.g. van de sport­school) ergens anders goed­ko­per afge­slo­ten kun­nen wor­den.

Sinds 19 febru­a­ri 2019 kun­nen par­tij­en die reke­ning­in­for­ma­tie­dien­sten wil­len aan­bie­den, op grond van de twee­de Payment Services Directive, hier­toe een betaal­dienst-ver­gun­ning aan­vra­gen bij De Nederlandsche Bank (DNB). Na ont­vangst van de ver­gun­ning kun­nen zij, na uit­druk­ke­lij­ke toe­stem­ming van hun klant, toe­gang krij­gen tot de betaal­re­ke­ning die de klant aan­houdt bij bij­voor­beeld een bank.

Het onder­zoek van de AP heeft niet als doel om sanc­ties (zoals boe­tes) op te leg­gen. De AP houdt zich ech­ter expli­ciet het recht voor om hand­ha­vend op te tre­den wan­neer zij ziet dat par­tij­en de Algemene Verordening Gegevensbescherming (AVG) niet juist heb­ben geïm­ple­men­teerd. Betaaldienstaanbieders moe­ten hier­op bedacht zijn en moe­ten nu maat­re­ge­len nemen.

 

 

Benieuwd hoe? Klik verder.

Waarom richt de AP zich op betaal­in­stel­lin­gen die reke­ning­in­for­ma­tie­dien­sten aan­bie­den?

Door de toe­gang die betaal­dienstaan­bie­ders heb­ben tot de betaal­re­ke­nin­gen van hun klan­ten heb­ben ze auto­ma­tisch ook inza­ge in veel (gevoe­li­ge) per­soons­ge­ge­vens. Aan de hand van betaal­ge­ge­vens valt immers veel te zeg­gen over het leven van de klant, maar kun­nen ook ande­re per­so­nen geï­den­ti­fi­ceerd wor­den (e.g. per­so­nen aan wie geld wordt over­ge­maakt). De AP wenst door dit onder­zoek meer inza­ge te krij­gen in de ver­wer­king door deze aan­bie­ders.

Welke acties moe­ten betaal­in­stel­lin­gen die reke­ning­in­for­ma­tie­dien­sten aan­bie­den nu onder­ne­men?

Uiteraard moe­ten betaal­dienstaan­bie­ders, zoals par­tij­en die reke­ning­in­for­ma­tie­dien­sten aan­bie­den, per 25 mei 2018 aan de AVG vol­doen. De AP houdt toe­zicht op de nale­ving van de AVG. Onder deze regel­ge­ving kwa­li­fi­ce­ren betaal­dienstaan­bie­ders in de regel als ‘ver­wer­kings­ver­ant­woor­de­lij­ke’ (en niet als ‘ver­wer­ker’), omdat zij zelf het doel van de gege­vens­ver­wer­king bepa­len. Het moe­ten nale­ven van de AVG zal voor betaal­dienstaan­bie­ders daar­om (hope­lijk) geen nieuws zijn. Echter: in het licht van het aan­ge­kon­dig­de onder­zoek doen betaal­dienstaan­bie­ders er ver­stan­dig aan om ten min­ste stil te staan bij de vol­gen­de twee pun­ten:

 

Heeft u de bevei­li­ging van per­soons­ge­ge­vens op orde en ver­werkt u deze vol­le­dig in lijn met doel waar­voor uw klan­ten u toe­gang heb­ben gege­ven?

Het ade­quaat bevei­li­gen van de per­soons­ge­ge­vens van uw klan­ten, is onlos­ma­ke­lijk ver­bon­den aan uw plicht om de risico’s voor uw klan­ten zo veel moge­lijk te beper­ken. U moet uzelf daar­om de vraag stel­len of uw bevei­li­ging op orde is. Voldoet deze nog aan de stan­daar­den in de markt? Heeft u de bevei­lig recen­te­lijk nog getest? Heeft u de nodi­ge pro­ce­du­res klaar lig­gen voor wan­neer er onver­hoopt toch iets mis­gaat? Beperkt u het aan­tal werk­ne­mers dat toe­gang heeft tot de per­soons­ge­ge­vens van uw klan­ten? Tevens ver­eist de AVG dat u de per­soons­ge­ge­vens van uw klan­ten enkel ver­werkt in lijn met het doel waar­voor uw klan­ten u toe­gang heb­ben gege­ven tot hun betaal­re­ke­ning. Heeft u dit doel dui­de­lijk voor ogen en wordt dit altijd nage­leefd? Zijn uw klan­ten vol­le­dig op de hoog­te van uw ver­wer­kings­ac­ti­vi­tei­ten? Dit zijn alle­maal vra­gen die de AP u onge­twij­feld zal gaan stel­len.

Zeker wan­neer u toe­gang krijgt tot zoge­noem­de ‘bij­zon­de­re cate­go­rie­ën van per­soons­ge­ge­vens’ (e.g. wan­neer op bank­af­schrif­ten valt terug te lezen dat uw klant lid is van een vak­bond of een bepaal­de reli­gie belijdt) moet u aan extra waar­bor­gen vol­doen en wor­den er zwaar­de­re eisen gesteld aan bij­voor­beeld de bevei­li­ging van per­soons­ge­ge­vens. Ook aan deze eisen zal de AP uw onder­ne­ming toet­sen.

 

U moet privacyrisico’s hel­der heb­ben. Het uit­voe­ren van Data Protection Impact Assessments is hier­bij een must.

Het door de AP aan­ge­kon­dig­de onder­zoek zal zich met name rich­ten op de mate waar­op u zich bewust bent van de privacyrisico’s ver­bon­den aan de manier waar­op u omgaat met de per­soons­ge­ge­vens van uw klant en van de men­sen met wie uw klant zaken doet (een beta­ling van uw klant aan diens vriend/vriendin bevat immers niet alleen de per­soons­ge­ge­vens van uw klant, maar ook die van de vriend/vriendin).

De metho­de om inzich­te­lijk te krij­gen wel­ke risico’s ver­bon­den zijn aan de ver­wer­king van per­soons­ge­ge­vens, is het uit­voe­ren van Data Protection Impact Assessments. In som­mi­ge geval­len is een der­ge­lij­ke beoor­de­ling ver­plicht (e.g. wan­neer de beoog­de ver­wer­king een hoog risi­co voor de betrok­ken natuur­lij­ke per­so­nen met zich mee brengt).

Het uit­voe­ren van deze beoor­de­ling dwingt u om:

  • de nood­zaak en even­re­dig­heid van hun ver­wer­kings­ac­ti­vi­tei­ten te beoor­de­len;
  • te onder­zoe­ken wel­ke risico’s en gevol­gen uw ver­wer­kings­ac­ti­vi­tei­ten heb­ben voor de rech­ten en vrij­he­den van de betrok­ken natuur­lij­ke per­so­nen; en
  • vast te stel­len hoe de geï­den­ti­fi­ceer­de risico’s gemi­ti­geerd kun­nen wor­den.

U doet er daar­om ver­stan­dig aan om zo snel moge­lijk:

  • Eerder uit­ge­voer­de Data Protection Impact Assessments opnieuw tegen het licht te hou­den;
  • Waar nodig: beoor­de­lin­gen opnieuw uit te voe­ren en hier­bij de nadruk te leg­gen op (het miti­ge­ren van) de geï­den­ti­fi­ceer­de risico’s; en
  • Waar gewenst: vrij­wil­lig aan­vul­len­de beoor­de­lin­gen uit te voe­ren en te docu­men­te­ren.

 

 

Hoe HVG Law u kan helpen? Klik verder.

De advo­ca­ten van HVG Law heb­ben veel ken­nis van de Europese betaal­markt (PSD II) en van de AVG. Zij advi­se­ren door­lo­pend par­tij­en op het gebied van de AVG.

Mocht u vra­gen heb­ben over het cor­rect bevei­li­gen van per­soons­ge­ge­vens, het bepa­len (en docu­men­te­ren) van uw ver­wer­kings­ac­ti­vi­tei­ten (e.g. voor welk doel ver­werkt u bepaal­de gege­vens?) of hulp wen­sen bij het uit­voe­ren van Data Protection Impact Assessments? Neem dan con­tact met een van onder­staan­de spe­ci­a­lis­ten.