Blog Post

PSD2 en privacy

  • door Maurits & Hömann
  • 29 jan, 2019

De consument is nog maar net bekomen van alle nieuw verworven rechten (en plichten voor partijen die persoonsgegevens verwerken) onder de AVG of de volgende Europese richtlijn, met mogelijk grote impact voor de consument, staat alweer voor de deur in de vorm van de Payment Service Directive 2, of kortweg PSD2.

Wat is PSD2?
PSD2 is een herziene richtlijn voor betaaldiensten die volgt op PSD1 en in Nederland van kracht wordt in 2019. PSD is een Europese richtlijn die zorgt voor regulering van betaaldiensten in de Europese Unie (EU). In 2007 werd de eerste richtlijn, PSD1, aangenomen door het Europese Parlement. Het voornaamste doel was het creëren van een uniforme betaalmarkt binnen de EU. De richtlijn is onder meer de basis geweest voor SEPA (Single European Payments Area). Hierdoor is het nu makkelijk(er) én gratis mogelijk om geld over te maken naar andere SEPA-landen. SEPA heeft er daarnaast voor gezorgd dat uw bankrekening veranderd werd in een internationaal rekening nummer, beter bekend als IBAN.

Ook werd met PSD1 de markt opengezet voor nieuwe toetreders, zogenaamde betaalinstellingen. Betaalinstellingen zijn niet-bancaire bedrijven, met een vergunning van De Nederlandsche Bank (DNB), die ook (net als banken) betaaldiensten mogen aanbieden aan de consument. Hierbij kan worden gedacht aan bijvoorbeeld het aanbieden van betaalkaarten, zoals creditcards en het faciliteren van online betalingen zoals iDEAL of incasso.

In de afgelopen jaren zijn er diverse nieuwe betaaldiensten op de markt gekomen die niet onder de werking van PSD1 vallen. Omdat dit tot ongewenste situaties zou kunnen leiden is de richtlijn herzien. Hierbij zijn ook gelijk andere punten opgepakt wat uiteindelijk zal moeten leiden tot meer innovatie en concurrentie in de Europese betaalmarkt.

Een paar van de belangrijkste wijzigingen zijn:

  • Toegang tot de betaalrekening door derde partijen. Banken moeten het mogelijk maken dat derde partijen toegang krijgen tot de betaalrekening van hun clientèle, uiteraard alleen indien de klant hiervoor uitdrukkelijk zelf toestemming heeft gegeven;
  • Winkels, webshops en andere bedrijven mogen geen toeslagen meer berekenen met betrekking tot betalingen met de betaalpas en creditcardbetalingen. Momenteel mogen bedrijven de (daadwerkelijk gemaakte) kosten die zij betalen voor betaaltransacties nog doorberekenen aan consumenten, denk hierbij aan een toeslag van 2% als je online met je creditcard wilt betalen. Voor andere betaalmiddelen, zoals bijvoorbeeld AfterPay en acceptgiro, mogen nog wel toeslagen berekend worden, maar nooit meer dan de daadwerkelijke kosten;
  • Het eigen risico bij diefstal of verlies van een betaalinstrument, zoals je betaalpas, is verlaagd tot € 50,- (dit was € 150,-).

De nieuwe regelgeving moet ook de veiligheid van betalingen verbeteren, denk hierbij bijvoorbeeld aan tweestapsverificatie.

Waarom PSD2?
Zoals hiervoor al aangehaald is de PSD2 richtlijn ingevoerd vanwege vijf doelen:

-        Bevordering van de concurrentie in de Europese betaalmarkt

-        Het beter mogelijk maken van innovatie in het betalingsverkeer

-        Betere bescherming van de consument

-        Vergroting van de veiligheid van betalingen

-        Het bijdragen aan één Europese betaalmarkt

PSD2 en de privacywetgeving
Door de PSD2 is het voor betaaldienstverleners mogelijk om toegang te krijgen tot de betaalgegevens van consumenten. Dit betreft (bijzondere) persoonsgegevens. Denk hierbij aan informatie over het inkomen, koopgedrag maar ook bijvoorbeeld de contributiebetaling aan vakbond of politieke partij.

Gelet op vorenstaande zijn er extra waarborgen ingebouwd om de privacy van consumenten te beschermen. Zo is er bepaald dat betaaldienstverleners alleen toegang tot de informatie op de rekening kunnen krijgen na uitdrukkelijke toestemming van de rekeninghouder.

Uitdrukkelijke toestemming onder de nieuwe richtlijn houdt onder meer in dat de gevraagde toestemming actief en afzonderlijk van de andere onderdelen van de overeenkomst met de betaaldienstverlener dient te zijn gegeven. Zonder deze toestemming is het voor de betaaldienstverlener niet mogelijk om toegang te verkrijgen tot de betaalgegevens van de betreffende consument. Hoe hier in het concrete geval invulling aan zal worden gegeven door de betaaldienstverleners en of dit vereiste zal worden nageleefd  is nog even afwachten.

Naast de waarborgen voor de consument zoals deze zijn gegeven in PSD2 dienen de betaaldienstverleners zich ook te houden aan de wettelijke verplichtingen uit de AVG. Dit betekent dat naast de uitdrukkelijke toestemming ook een grondslag nodig hebben om persoonsgegevens te mogen verwerken.

Toezicht
Op het betalingsverkeer zijn in Nederland vier toezichthouders betrokken; de Autoriteit Persoonsgegevens (AP), DNB, ACM en AFM. De AP is belast met het toezicht op de bescherming van de privacy. Dit betekent ook dat de hoge boetes die mogelijk zijn op grond van de AVG kunnen worden aangewend ten laste van betaaldienstverleners. Dit geeft een extra waarborg voor deze partijen om zorgvuldig met de privacy van de consument om te gaan.

Zestiende plenaire vergadering EDPB

door Maurits & Hömann 17 december 2019
Agenda en notulen van de zestiende vergadering EDPB

Vijftiende plenaire vergadering EDPB

door Maurits & Hömann 17 december 2019
Agenda en notulen van de vijftiende vergadering EDPB

Veertiende plenaire vergadering EDPB

door Maurits & Hömann 17 december 2019
De agenda en notulen van de veertiende vergadering

Twaalfde plenaire vergadering EDPB

door Maurits & Hömann 10 juli 2019
Op 9 en 10 juli 2019 zijn de Europese privacy toezichthouders weer bijeen om een aantal belangrijke privacy vraagstukken te bespreken

Banken mogen betaalgegevens niet zomaar gebruiken voor reclame

door Maurits & Hömann 3 juli 2019
Banken teruggefloten door Autoriteit Persoonsgegevens met betrekking tot gebruik betaalgegevens voor direct-marketing aanbiedingen.

Wet Arbeidsmarkt in Balans (WAB) in aantocht

door Maurits & Hömann 17 juni 2019
Wet arbeidsmarkt in balans (WAB) in aantocht

Elfde plenaire vergadering EDPB

door 81934671b872bb5f26d278f492cab802591830ed 4 juni 2019
4 juni 2019 komen de Europese Privacy waakhonden weer bijeen om een aantal belangrijke privacy vraagstukken te bespreken

De Belgische AP (Gegevensbeschermingsautoriteit - GBA) legt haar eerste -bescheiden- AVG boete op.

door Maurits & Hömann 3 juni 2019
Hoewel de boete bescheiden is, is de boodschap dat niet: de bescherming van gegevens is een zaak van ons allen maar de verwerkingsverantwoordelijken moeten hun verantwoordelijkheid nemen, vooral als zij een overheidsmandaat hebben.

Artikel 82 AVG | Recht op schadevergoeding onder de AVG

door mr. S. Hömann 23 mei 2019
In dit artikel wordt de mogelijkheid besproken om schadevergoeding te vorderen bij de burgerlijke rechter.

Het gebruik van Standard Data Protection Clauses

door mr. S. Hömann 21 mei 2019
Doorgifte van persoonsgegevens buiten de Europese Unie mogelijk door gebruikmaking van modelcontracten/
Meer posts
Share by: