Betaalrichtlijn PSD2 in strijd met privacywet

Magazines | Vallei Business nummer 1 2018

0318 - 75 11 88 | info@activast.nl | www.activast.nl

privacy

Betaalrichtlijn psd2

in strijd

met privacywet

Privacy | Dirkzwager

Betaalrichtlijn PSD2

in strijd met privacywet

Het leek zo mooi. Meer concurrentie op de betaalmarkt dankzij een nieuwe Europese richtlijn. Minder macht voor de banken, meer innovatie en lagere betaalkosten. Maar deze PSD2 blijkt op gespannen voet te staan met de eveneens nieuwe

privacywet AVG. Dit zal leiden tot talrijke rechtszaken, voorspellen privacyspecialist Mark Jansen en Rob van Houts,

expert financieel recht.

De Europese Payment Service Directive 2 creëert een uniforme betaalmarkt dankzij één juridisch kader voor een veilig betalingsverkeer binnen de EU. De PSD2 versterkt onder meer de positie van nieuwe aanbieders, die vaak voor innovatie zorgen. Onder de richtlijn, die deze zomer in Nederlandse wetgeving moet worden omgezet, vallen onder andere banken en ver-werkers van elektronische betalingen. Nieuwe partijen zijn diensten die het betalingsverkeer voor webwinkels regelen en rekeninginforma-tiedienstverleners. De laatste categorie bundelt informatie van meerdere betaalrekeningen tot één overzicht. PSD2 regelt dat deze nieuw-komers toegang krijgen tot de gegevens van de rekeninghouders bij banken, zodat ze hun diensten kunnen verlenen, leidt Rob van Houts

het verhaal in. Mits de rekeninghouder daar expliciet toestemming voor geeft en de dienst met de nodige procedures en protocollen voldoet aan de vereisten om informatie veilig op te slaan. De PSD2 kruist daar echter de pri-vacywetgeving omdat banken derden toegang geven tot gevoelige informatie.

Aan PSD2 ligt een mooie gedachte ten grond-slag, vult Mark Jansen aan. Maar vanuit de privacy zijn een paar dingen vergeten.

Chaotisch beeld

Wat heet. Als privacyexpert is Jansen, tevens bestuurslid van de Vereniging Privacyrecht, uit-genodigd door De Nederlandsche Bank (DNB) om uiteen te zetten waar de PSD2 schuurt met de nieuwe privacywet AVG (Algemene

Verordening Gegevensbescherming), die 25 mei van kracht wordt. Hij kon niet anders dan een diffuus beeld presenteren, met te kust en te keur situaties die financiële instellingen dwin-gen tot een spagaat. Ter illustratie toont Jansen een simpel tekeningetje met drie figuurtjes: een consument, diens bank en een rekeninginfor-matiedienst. Samen vormen ze een driehoek. Iedereen kan in principe zon dienst beginnen, begint Jansen. Van snelle jongens in een IT-start-up tot de Googles van deze wereld. Ze vragen een vergunning aan bij DNB op basis van de Wet financieel toezicht (Wft), en gaan op grote schaal gegevens verwerken van mensen en bedrijven. De AVG zegt echter dat die bank verantwoordelijk blijft voor wat met de per-soonsgegevens gebeurt. Stel dat een rekenin-

dirkzwager | Privacy

ginformatiedienst het niet al te nauw neemt met de regels. Of erger, dat zon bedrijf omvalt. De consument kan dan toch, ondanks zijn verstrekte toestemming, bij banken een claim indienen. De redenering? De bank had beter moeten opletten vanuit haar privacyverantwoordelijkheid. Een dergelijke claim kan natuurlijk ook naar de rekeninginformatiedienst, als deze nog bestaat. Maar ik zou als consument wel weten wie ik aanklaag: degene met de diepste zakken. En dat is de bank. Als bank zou ik daarom vrijwaringen willen hebben. Maar de PSD2 verbiedt een bank zulke rege-lingen te treffen met een rekeninginformatiedienst.

Van Houts: De PSD2 kent wél een bepaling dat de bank verhaal kan halen bij de rekeninginformatiedienst. Daarom is deze verplicht met name risicos op tekortkomingen in de dienstverlening te verzekeren.

Haaks op elkaar

Nog een voorbeeld. Banken en dienstverleners koppelen hun systemen aan elkaar en wisselen gegevens uit. Volgens het privacyrecht heb je dan een verwerkingsovereenkomst nodig. Jansen: Ook hier verbiedt de PSD2 dat die partijen schriftelijke afspraken met elkaar maken. Deze twee wetten staan kortom haaks op elkaar. Van Houts: De PSD2 wil dat par-tijen niet gehinderd worden in hun nieuwe diensten en verveeld worden met allerlei dikke contracten van banken waarin staat wat ze wel en niet mogen. Vandaar dat andere dienstverleners die onder vergelijkbare voor-waarden als een bank klanten aansluit, toegang moeten hebben tot de systemen. De Europese Commissie heeft hierbij niet nagedacht over het privacy-aspect. Wat dan wijsheid is? Ik zou die verwerkingsovereenkomst gewoon sluiten en de AVG volgen.

Filteren

Het Hof van Justitie heeft enkele jaren geleden geoordeeld dat internet-providers niet kosteloos filters hoeven te installeren om illegale content te weren. Dit is namelijk in strijd met de vrijheid van ondernemerschap, een grondrecht. Banken worden nu gedwongen om kosteloos een IT-infrastructuur in de lucht te houden en daarop rekeninginformatie-diensten aan te sluiten. Dat is geen levensvatbaar model, concludeert Jansen. Het zou me dan ook niks verbazen dat een bank deze discussie gaat aanzwengelen. Waarna de rechter een streep zet door de kosteloos-heid of zelfs door de gehele regeling, verwijzend naar het arrest over de filtering van illegale downloads.

Strijdig

Jansen zet er in het tekeningetje een poppetje bij, bijvoorbeeld een fami-lielid van de consument. Of een vriend, of tuinman. Bij iedere betaling is een ander betrokken. Weliswaar heeft de consument toestemming gegeven aan de informatiedienstaanbieder, maar die ander weet daar helemáál niks van. Diens gegevens komen automatisch mee. Het priva-cyrecht zegt dat zodra een bedrijf persoonsgegevens van iemand heeft, het dit moet melden. Maar hoe krijg je het privacystatement bij die vriend of tuinman? Van Houts: Nu hebben banken die gegevens ook. Maar de omgang daarmee is geregeld in een collectieve gedragscode. Dat zou in de PSD2 een route kunnen zijn. Het is echter de vraag of dat gaat lukken. Want je krijgt straks buitenlandse entiteiten die de Nederlandse markt betreden en die je geen beperkingen mag opleggen. Zon gedragscode is mogelijk strijdig met de Europese richtlijn en doorkruist de vrijheid van vestiging en dienstverlening.

Bescheiden rol

Daarmee komen we bij het toezicht op Europees niveau. Rob van Houts voorziet daarin een bescheiden rol voor DNB. Die verleent een vergun-ning en houdt toezicht daarop. Zodra echter persoonsgegevens in het spel zijn, is de AP als enige bevoegd om handhavend op te treden. Dan krijg je straks op Europees niveau dat bijvoorbeeld de Duitse AP toezicht houdt op een Duitse partij die ook in Nederland actief is. Dat levert een complex samenspel op met enerzijds DNB en anderzijds de Duitse priva-cytoezichthouder die samen moet werken met zijn Nederlandse collega. In landen om ons heen is de PSD2 al omgezet in wetgeving. Daar hebben partijen al een vergunning, die dient als een soort paspoort waarmee ze ook in Nederland werkzaam mogen zijn. Ware het niet dat hier nog geen wetgeving is en DNB nog geen toetsingskader heeft. Buitenlandse entitei-ten die willen aansluiten bij een Nederlandse bank, kunnen daar dus nog niet terecht. Jansen: Overigens kun je zon paspoort ook verkrijgen in landen met minder toezicht. Gaan die malafide partijen aantrekken?

Rechtszaken

De analyse is nog lang niet compleet, maar het problematische beeld is duidelijk. De vraag is wat er aan te doen is.

Jansen: De oplossing ligt gek genoeg in uitgebreidere wetgeving. Van Houts: En de toezichthouders zullen elkaar moeten vinden om tot oplossingen te komen. Maar de AP is momenteel veel te druk met de AVG. Die komt er niet aan toe. Jansen: Ik vrees dat er veel vaag blijft. Dit zal leiden tot talrijke rechtszaken. De rechtspraak zal met interpretaties voor helderheid moeten zorgen.

Voor meer informatie over dit en aansluitende juridische onderwerpen verwijzen wij u graag naar de kennispagina van Dirkzwager:

www.partnerinkennis.nl of u kunt hierover contact opnemen

Tel: +31 (0)88 2424 100

PRIVACY MULTIDISCIPLINAIR AANVLIEGEN

Privacy is een multidisciplinaire aangelegenheid, die niet vanuit één juridisch vakgebied is aan te vliegen. Daarom kent Dirkzwager een multidisciplinaire vakgroep Privacy die de secties gezondheidsrecht, arbeidsrecht, aansprakelijkheid, schade & verzekeringen (ASV), en intellectueel eigendom & IT-recht verenigt. Én financieel recht. Mark Jansen: Rob en ik werken bijvoorbeeld voor een grote Franse bank die midden in een AVG-project zit. Daar sparren we met elkaar over zodat ik het financiële recht kan toepassen op het privacyrecht en we samen de cliënt verder kunnen helpen.

Aan PSD2 ligt een mooie gedachte ten grondslag. Maar vanuit de privacy zijn er nogal wat aandachtspunten

delen:

Vallei Business nummer 1 2018

» Rabobank start Circular Economy Challenge
» FOV: BOV gelanceerd
» Forum circulair ondernemen: Zoek elkaar op
» Paperfoam: Duurzame creatieve oplossingen voor toekomstbestendige verpakkingen
» Wetenschappers van WUR helpen ondernemers met innoveren
» Geldvoorelkaar.nl neemt vooroordelen crowdfunding weg
» Column De Hooilanden / Column De Vries & Partners
» Movi Performance Gym is vooral géén sportfabriek
» ASB: Veiligheid en gezondheid voorop
» Comma Vastgoed: Ondernemend naar de beste transacties in bedrijfsvastgoed
» ASB Plaagdierbeheersing: Goede plaagdierbeheersing werkt kostenbesparend
» CMC Bedrijfsmakelaars: Succesvol ondernemen op zichtlocatie
» ASB Riooltechniek: Riool heeft onderhoud nodig
» Grote regionale verschillen op de kantorenmarkt
» Crown Slim Werken brengt reuring in kantoorpanden
» ASB Sanering verwijdert asbest op verantwoorde wijze
» HNK: Netwerken in een bosrijke omgeving
» Betaalrichtlijn PSD2 in strijd met privacywet
» Doe jij het wel veilig?
» Cybercrime: Onzichtbaar gevaar voor ICT-omgeving
» Beenen Industrial Automation: Innovator in productie-efficiency
» Column BLCC
» VNO-NCW Midden: Hulp voor ondernemers bij voorbereiden Brexit
» 50|50 Hotel en Congrescentrum Belmont: Vergaderen én iets goeds doen
» Column Hermonde
» Storytelling maakt marketing weer spannend
» Fortune Coffee komt verrassend uit de hoek
» Van Veen Advocaten: Privacy op de werkvloer draait om bewustwording
» Ad Hoc Data: Nooit meer met hagel schieten
» Column Lagarde Groep
» Column Oxonia Autolease
» Cluistra begroet Hyundai I30-reeks
» Rabobank start Circular Economy Challenge
» FOV: BOV gelanceerd
» Forum circulair ondernemen: Zoek elkaar op
» Paperfoam: Duurzame creatieve oplossingen voor toekomstbestendige verpakkingen
» Wetenschappers van WUR helpen ondernemers met innoveren
» Geldvoorelkaar.nl neemt vooroordelen crowdfunding weg
» Column De Hooilanden / Column De Vries & Partners
» Movi Performance Gym is vooral géén sportfabriek
» ASB: Veiligheid en gezondheid voorop
» Comma Vastgoed: Ondernemend naar de beste transacties in bedrijfsvastgoed
» ASB Plaagdierbeheersing: Goede plaagdierbeheersing werkt kostenbesparend
» CMC Bedrijfsmakelaars: Succesvol ondernemen op zichtlocatie
» ASB Riooltechniek: Riool heeft onderhoud nodig
» Grote regionale verschillen op de kantorenmarkt
» Crown Slim Werken brengt reuring in kantoorpanden
» ASB Sanering verwijdert asbest op verantwoorde wijze
» HNK: Netwerken in een bosrijke omgeving
» Betaalrichtlijn PSD2 in strijd met privacywet
» Doe jij het wel veilig?
» Cybercrime: Onzichtbaar gevaar voor ICT-omgeving
» Beenen Industrial Automation: Innovator in productie-efficiency
» Column BLCC
» VNO-NCW Midden: Hulp voor ondernemers bij voorbereiden Brexit
» 50|50 Hotel en Congrescentrum Belmont: Vergaderen én iets goeds doen
» Column Hermonde
» Storytelling maakt marketing weer spannend
» Fortune Coffee komt verrassend uit de hoek
» Van Veen Advocaten: Privacy op de werkvloer draait om bewustwording
» Ad Hoc Data: Nooit meer met hagel schieten
» Column Lagarde Groep
» Column Oxonia Autolease
» Cluistra begroet Hyundai I30-reeks
Lees volledige uitgave online
Algemene voorwaarden | privacy statement Hosted by