De bescherming van de privacy van consumenten is een belangrijk onderdeel van de nieuwe Europese wet voor het betalingsverkeer (PSD2). Een vereiste onder PSD2 is dat betaaldienstverleners alleen toegang mogen krijgen tot persoonsgegevens van consumenten als zij hiervoor uitdrukkelijke toestemming hebben gekregen van die consumenten. De consument beslist dus zelf of een betaaldienstverlener inzage mag hebben in zijn of haar bankrekening en betaalgedrag. De Autoriteit Persoonsgegevens (AP) heeft nu met Q&A’s voor betaaldienstverleners verduidelijkt waar die ‘uitdrukkelijke toestemming’ aan moet voldoen.
PSD2 staat voor de tweede Payment Services Directive. Het is een Europese richtlijn over betaaldiensten. Deze richtlijn regelt onder meer dat niet alleen banken maar ook andere partijen nieuwe betaal- en rekeningdiensten mogen aanbieden. Bijvoorbeeld een dienst die helpt overzicht te houden over afzonderlijke bankrekeningen.
De bescherming van de privacy van consumenten is een belangrijk onderdeel van PSD2, omdat betaalgegevens gevoelige financiële persoonsgegevens zijn. De wetgeving over de richtlijn ligt nu ter behandeling bij de Eerste Kamer.
Eisen aan uitdrukkelijke toestemming
Een van de belangrijkste privacyregels uit de PSD2-richtlijn is dat betaaldienstverleners zonder uitdrukkelijke toestemming geen toegang mogen hebben tot persoonsgegevens. Dit geldt bijvoorbeeld voor rekeninghoudende betaaldienstverleners (zoals banken) en betaalinitiatiedienstverleners.
De eis van uitdrukkelijke toestemming houdt onder meer in dat een betaaldienstverlener afzonderlijk van de andere onderdelen van een overeenkomst om toestemming vraagt aan iemand om toegang te krijgen tot zijn of haar persoonsgegevens.
De manier waarop uitdrukkelijke toestemming wordt gevraagd moet vrij zijn, ondubbelzinnig, geïnformeerd en specifiek. Consumenten moeten hun toestemming ook gemakkelijk weer kunnen intrekken.
Iemand mag bijvoorbeeld niet onder druk worden gezet om toestemming te geven. En toestemming moet een actieve handeling zijn; stilzwijgende toestemming of voor-aangevinkte vakjes zijn niet toegestaan. Een betaaldienstverlener moet een consument ook goed informeren over welke gegevens worden verzameld en waarvoor ze worden gebruikt.
Voor welke betaaldienstverleners geldt de eis?
Het vereiste van uitdrukkelijke toestemming voor de toegang tot persoonsgegevens geldt voor alle soorten betaaldiensten. Behalve als de dienstverlening alleen bestaat uit het aanbieden van een rekeninginformatiedienst. Zodra de rekeninginformatiedienst wordt gecombineerd met een andere betaaldienst geldt het vereiste van uitdrukkelijke toestemming wél.
Betaaldienstverleners moeten zich net als alle andere organisaties ook houden aan de privacywet, de Algemene verordening gegevensbescherming (AVG). Belangrijke AVG-regels zijn bijvoorbeeld dat een betaaldienstverlener altijd een grondslag moet hebben om persoonsgegevens te mogen verwerken en maatregelen moet treffen om persoonsgegevens goed te beveiligen.