Blog
Published
Reading time
Auteur
Betaaldienstaanbieders moeten bedacht zijn en moeten nu maatregelen nemen
Op 24 februari 2020 heeft de Autoriteit Persoonsgegevens (AP) aangekondigd een onderzoek te starten naar Nederlandse betaalinstellingen met een PSD II-vergunning voor het aanbieden van rekeninginformatiediensten. Voorbeelden van dergelijke bedrijven zijn partijen die online huishoudboekjes aanbieden aan hun klanten om diens (periodieke) betalingen inzichtelijk te maken of die automatisch inzichtelijk maken of bepaalde abonnementen (e.g. van de sportschool) ergens anders goedkoper afgesloten kunnen worden.
Sinds 19 februari 2019 kunnen partijen die rekeninginformatiediensten willen aanbieden, op grond van de tweede Payment Services Directive, hiertoe een betaaldienst-vergunning aanvragen bij De Nederlandsche Bank (DNB). Na ontvangst van de vergunning kunnen zij, na uitdrukkelijke toestemming van hun klant, toegang krijgen tot de betaalrekening die de klant aanhoudt bij bijvoorbeeld een bank.
Het onderzoek van de AP heeft niet als doel om sancties (zoals boetes) op te leggen. De AP houdt zich echter expliciet het recht voor om handhavend op te treden wanneer zij ziet dat partijen de Algemene Verordening Gegevensbescherming (AVG) niet juist hebben geïmplementeerd. Betaaldienstaanbieders moeten hierop bedacht zijn en moeten nu maatregelen nemen.
Waarom richt de AP zich op betaalinstellingen die rekeninginformatiediensten aanbieden?
Door de toegang die betaaldienstaanbieders hebben tot de betaalrekeningen van hun klanten hebben ze automatisch ook inzage in veel (gevoelige) persoonsgegevens. Aan de hand van betaalgegevens valt immers veel te zeggen over het leven van de klant, maar kunnen ook andere personen geïdentificeerd worden (e.g. personen aan wie geld wordt overgemaakt). De AP wenst door dit onderzoek meer inzage te krijgen in de verwerking door deze aanbieders.
Welke acties moeten betaalinstellingen die rekeninginformatiediensten aanbieden nu ondernemen?
Uiteraard moeten betaaldienstaanbieders, zoals partijen die rekeninginformatiediensten aanbieden, per 25 mei 2018 aan de AVG voldoen. De AP houdt toezicht op de naleving van de AVG. Onder deze regelgeving kwalificeren betaaldienstaanbieders in de regel als ‘verwerkingsverantwoordelijke’ (en niet als ‘verwerker’), omdat zij zelf het doel van de gegevensverwerking bepalen. Het moeten naleven van de AVG zal voor betaaldienstaanbieders daarom (hopelijk) geen nieuws zijn. Echter: in het licht van het aangekondigde onderzoek doen betaaldienstaanbieders er verstandig aan om ten minste stil te staan bij de volgende twee punten:
Heeft u de beveiliging van persoonsgegevens op orde en verwerkt u deze volledig in lijn met doel waarvoor uw klanten u toegang hebben gegeven?
Het adequaat beveiligen van de persoonsgegevens van uw klanten, is onlosmakelijk verbonden aan uw plicht om de risico’s voor uw klanten zo veel mogelijk te beperken. U moet uzelf daarom de vraag stellen of uw beveiliging op orde is. Voldoet deze nog aan de standaarden in de markt? Heeft u de beveilig recentelijk nog getest? Heeft u de nodige procedures klaar liggen voor wanneer er onverhoopt toch iets misgaat? Beperkt u het aantal werknemers dat toegang heeft tot de persoonsgegevens van uw klanten? Tevens vereist de AVG dat u de persoonsgegevens van uw klanten enkel verwerkt in lijn met het doel waarvoor uw klanten u toegang hebben gegeven tot hun betaalrekening. Heeft u dit doel duidelijk voor ogen en wordt dit altijd nageleefd? Zijn uw klanten volledig op de hoogte van uw verwerkingsactiviteiten? Dit zijn allemaal vragen die de AP u ongetwijfeld zal gaan stellen.
Zeker wanneer u toegang krijgt tot zogenoemde ‘bijzondere categorieën van persoonsgegevens’ (e.g. wanneer op bankafschriften valt terug te lezen dat uw klant lid is van een vakbond of een bepaalde religie belijdt) moet u aan extra waarborgen voldoen en worden er zwaardere eisen gesteld aan bijvoorbeeld de beveiliging van persoonsgegevens. Ook aan deze eisen zal de AP uw onderneming toetsen.
U moet privacyrisico’s helder hebben. Het uitvoeren van Data Protection Impact Assessments is hierbij een must.
Het door de AP aangekondigde onderzoek zal zich met name richten op de mate waarop u zich bewust bent van de privacyrisico’s verbonden aan de manier waarop u omgaat met de persoonsgegevens van uw klant en van de mensen met wie uw klant zaken doet (een betaling van uw klant aan diens vriend/vriendin bevat immers niet alleen de persoonsgegevens van uw klant, maar ook die van de vriend/vriendin).
De methode om inzichtelijk te krijgen welke risico’s verbonden zijn aan de verwerking van persoonsgegevens, is het uitvoeren van Data Protection Impact Assessments. In sommige gevallen is een dergelijke beoordeling verplicht (e.g. wanneer de beoogde verwerking een hoog risico voor de betrokken natuurlijke personen met zich mee brengt).
Het uitvoeren van deze beoordeling dwingt u om:
- de noodzaak en evenredigheid van hun verwerkingsactiviteiten te beoordelen;
- te onderzoeken welke risico’s en gevolgen uw verwerkingsactiviteiten hebben voor de rechten en vrijheden van de betrokken natuurlijke personen; en
- vast te stellen hoe de geïdentificeerde risico’s gemitigeerd kunnen worden.
U doet er daarom verstandig aan om zo snel mogelijk:
- Eerder uitgevoerde Data Protection Impact Assessments opnieuw tegen het licht te houden;
- Waar nodig: beoordelingen opnieuw uit te voeren en hierbij de nadruk te leggen op (het mitigeren van) de geïdentificeerde risico’s; en
- Waar gewenst: vrijwillig aanvullende beoordelingen uit te voeren en te documenteren.
Hoe HVG Law u kan helpen? Klik verder.
De advocaten van HVG Law hebben veel kennis van de Europese betaalmarkt (PSD II) en van de AVG. Zij adviseren doorlopend partijen op het gebied van de AVG.
Mocht u vragen hebben over het correct beveiligen van persoonsgegevens, het bepalen (en documenteren) van uw verwerkingsactiviteiten (e.g. voor welk doel verwerkt u bepaalde gegevens?) of hulp wensen bij het uitvoeren van Data Protection Impact Assessments? Neem dan contact met een van onderstaande specialisten.