De Autoriteit Persoonsgegevens (AP) start een onderzoek naar Nederlandse bedrijven met een PSD2-vergunning die betaalrekeninginformatie verwerken. De AP wil te weten komen of die bedrijven zich bewust zijn van de privacyrisico’s die de verwerking van rekeninggegevens met zich meebrengt en of ze voldoen aan de privacyregelgeving.
PSD2 staat voor de tweede Payment Services Directive. Het is een Europese richtlijn voor betaaldienstverleners. Deze richtlijn regelt onder meer dat niet alleen banken maar ook andere partijen toegang tot een betaalrekening mogen krijgen, mits een klant daar uitdrukkelijk mee heeft ingestemd. Nederlandse bedrijven die dit willen, moeten daarvoor een vergunning hebben van De Nederlandsche Bank (DNB).
‘Scherp beeld van privéleven’
Met een PSD2-vergunning én uitdrukkelijke instemming van de rekeninghouder, kunnen bedrijven toegang krijgen tot de betaalgegevens van bankklanten. ‘Dan weet dus niet alleen je bank, maar bijvoorbeeld ook een start-up met een handige app wanneer, waar en hoeveel je betaalt’, zegt AP-bestuurslid Katja Mur. ‘Als iemand in je digitale afschriften kan kijken, kan diegene een scherp beeld van je privéleven vormen. Hij of zij ziet dat jij ’s ochtends een kopje koffie pint op het station, ’s middags je lunch afrekent in de bedrijfskantine en ’s avonds nog wat kleine boodschappen doet bij de supermarkt om de hoek. Maar aan je betalingen kun je ook zien van welke geloofsgemeenschap of politieke partij je lid bent. En misschien ook dat je naar het casino gaat, medicijnen bij een apotheek koopt of regelmatig bij de slijterij bent. We vinden het belangrijk dat bedrijven zorgvuldig met die gevoelige gegevens omgaan.’
Niet alleen jouw gegevens
Het gaat niet alleen om de gegevens van de rekeninghouders zelf, die onder de PSD2-regelgeving hebben ingestemd met de toegang tot hun online rekeninggegevens bij de bank. Mur: ‘Het gaat ook om de persoonsgegevens van degene van wie je bijvoorbeeld je tweedehands auto koopt. En om die vriend die zijn deel van de rekening naar je overmaakt na een drankje in de stad. Dus ook als je niet zelf toestemming hebt gegeven voor het delen van je betaalgegevens, komen ze in sommige gevallen wel in de systemen van andere bedrijven dan banken.’
Focus op ‘rekeninginformatiedienstaanbieders’
Het onderzoek richt zich op Nederlandse PSD2-vergunninghouders die betaalrekeninginformatie verwerken: de zogeheten ‘rekeninginformatiedienstaanbieders’. Zo’n partij biedt bijvoorbeeld de mogelijkheid om via een app in één keer overzicht te krijgen over je huishoudboekje door automatisch betaalinformatie op te halen bij alle banken waar je een betaalrekening hebt. Het doel van het onderzoek is niet om sancties zoals boetes op te leggen, maar als de AP overtredingen constateert, kan de AP wel tot handhaving overgaan.
De AP heeft aan alle Nederlandse bedrijven met een nieuwe PSD2-vergunning een brief gestuurd met een uiteenzetting van de regels uit de Algemene verordening gegevensbescherming (AVG) die voor hen het belangrijkst zijn. De AP zal alle bedrijven die een nieuwe PSD2-vergunning krijgen de komende jaren op deze manier benaderen. Het is belangrijk dat deze – vaak nieuwe – fintech-bedrijven de gegevens van burgers van meet af aan goed beschermen.
Toezicht op PSD2
DNB heeft onder meer de taak om vergunningen te verlenen aan aanbieders van betaaldiensten, zoals banken en nieuwe fintech-bedrijven. De AP houdt toezicht op de bescherming van persoonsgegevens. DNB en de AP werken samen in het toezicht op de naleving van PSD2-regelgeving.