De Autoriteit Persoonsgegevens (AP) start een onderzoek naar Nederlandse bedrijven met een vergunning voor PSD2 die betaalrekeninginformatie verwerken. De AP wil weten of zij zich bewust zijn van de privacyrisico’s en of ze voldoen aan de privacyregelgeving.
PSD2 staat voor de tweede Payment Services Directive. Het is een Europese richtlijn voor betaaldienstverleners. Dit regelt bijvoorbeeld dat niet alleen banken maar ook andere partijen toegang tot een betaalrekening mogen krijgen. Dit mag mits een klant daar uitdrukkelijk mee instemt. Nederlandse bedrijven die dit willen, moeten dan een vergunning hebben van De Nederlandsche Bank (DNB).
Privéleven
Met een PSD2-vergunning én uitdrukkelijke instemming van de rekeninghouder, kunnen bedrijven toegang krijgen tot de betaalgegevens van bankklanten. “Dan weet dus niet alleen je bank, maar bijvoorbeeld ook een start-up met een handige app wanneer, waar en hoeveel je betaalt.” Dat zegt AP-bestuurslid Katja Mur. “Als iemand in je digitale afschriften kan kijken, kan diegene een scherp beeld van je privéleven vormen. Hij of zij ziet dat jij ’s ochtends een kopje koffie pint op het station, ’s middags je lunch afrekent in de bedrijfskantine en ’s avonds kleine boodschappen doet bij de supermarkt om de hoek. Maar aan je betalingen kun je ook zien van welke geloofsgemeenschap of politieke partij je lid bent. En misschien ook dat je naar het casino gaat, medicijnen bij een apotheek koopt of regelmatig bij de slijterij bent. We vinden het belangrijk dat bedrijven zorgvuldig met die gevoelige gegevens omgaan.”
Toegang
Het gaat niet alleen om de gegevens van de rekeninghouders zelf, die onder de PSD2-regelgeving hebben ingestemd met de toegang tot hun online rekeninggegevens bij de bank. Mur: “Het gaat ook om de persoonsgegevens van degene van wie je bijvoorbeeld je tweedehands auto koopt. En om die vriend die zijn deel van de rekening naar je overmaakt na een drankje in de stad. Dus ook als je niet zelf toestemming geeft voor het delen van je betaalgegevens, komen ze in sommige gevallen wel in de systemen van andere bedrijven dan banken.”
Rekeninginformatiedienstaanbieders
Het onderzoek richt zich op Nederlandse PSD2-vergunninghouders die betaalrekeninginformatie verwerken. Dit zijn de zogeheten ‘rekeninginformatiedienstaanbieders’. Zo’n partij biedt bijvoorbeeld de mogelijkheid om via een app in één keer overzicht te krijgen over je huishoudboekje door automatisch betaalinformatie op te halen bij alle banken waar je een betaalrekening hebt. Het doel van het onderzoek is niet om sancties zoals boetes op te leggen, maar bij gevonden overtredingen gaat de AP wel tot handhaving over.
Alle Nederlandse bedrijven met een nieuwe PSD2-vergunning hebben een brief gekregen met een uiteenzetting van de regels uit de Algemene Verordening Gegevensbescherming (AVG) die voor hen het belangrijkst zijn.
De AP zal alle bedrijven die een nieuwe PSD2-vergunning krijgen de komende jaren op deze manier benaderen. Het is belangrijk dat deze, vaak nieuwe, fintech-bedrijven de gegevens van burgers van meet af aan goed beschermen.
