PSD2. Vraag en antwoord!

Liggen onze bankgegevens te grabbel met de komst van PSD2? Dit is de vraag die Kamerlid Alkaya terecht stelt.

• Vraag 1: Kent u het bericht «De nieuwe Wehkamp»? Klopt de stelling dat zelfs de bankgegevens van mensen die geen toestemming hebben gegeven voor het delen daarvan in de database van een financieel-technologisch bedrijf terecht kunnen komen? Zo ja, kunt u dan aangeven hoe dit kan? Deelt u de mening dat dit voorkomen moet worden?

• Vraag 2: Waarom kunnen banken niet naar de rechter stappen als fintech-bedrijven data van hun klanten naar hun mening verkeerd gebruiken? 

• Vraag 3: Is de Autoriteit Persoonsgegevens, die toezicht moet houden op de fintechbedrijven, wel in staat naar de rechter te stappen als data verkeerd worden gebruikt, al dan niet naar aanleiding van een signaal van een bank? 

• Vraag 4: Kunnen fintech-bedrijven hun concurrenten of zakenpartners die privacyregels schenden wél juridisch aanspreken op misbruik? Kun u uw antwoord toelichten? 

• Vraag 5: Deelt u de mening dat PSD2, de herziene betaaldienstenrichtlijn, is ingevoerd om kleine, innovatieve finanancieel-technologische bedrijven te helpen, maar uiteindelijk vooral de concurrentiepositie van de grote techbedrijven lijkt te versterken? 

• Vraag 6: Herkent u het beeld dat er een omkering van bewijslast ontstaat bij misbruik van data zoals betaalgegevens, bijvoorbeeld wanneer een verzekeraar op basis van die data iemand in een bepaalde risicocategorie plaatst? Deelt u de mening dat de consument hierdoor in een onmogelijke positie komt, en dat dit uiterst onwenselijk zou zijn? 

• Antwoord 1: Ja, ik ken het genoemde bericht uit De Groene Amsterdammer van 6 december 2018. Betaaldienstverleners kunnen in specifieke gevallen toegang krijgen tot gegevens van anderen dan de rekeninghouder. Dit kan bijvoorbeeld het geval zijn als de rekeninghouder toestemming heeft gegeven voor toegang tot zijn betaalrekening voor het maken van een huishoudboekje. Daarmee krijgt de betaaldienstverlener toegang tot betaalgegevens, maar alleen voor zover hij die nodig heeft voor het verlenen van de gevraagde betaaldienst. Die gegevens kunnen ook gegevens van derden omvatten, bijvoorbeeld als de rekeninghouder geld heeft overgemaakt aan een derde in een bepaalde periode. Dit betreft zogenoemde silent party data. De European Data Protection Board (EDPB) heeft eerder geoordeeld dat verwerking van silent party data door een betaalinitiatiedienstverlener of rekeninginformatiedienstverlener in het kader van PSD2 mogelijk is op grond van diens legitiem belang bij uitvoering van het contract met de betaaldienstgebruiker (de rekeninghouder). Daarbij wordt het legitiem belang beperkt en bepaald door de verwachtingen die een betrokkene redelijkerwijs mag hebben bij de verwerking van zijn gegevens. Daarom kunnen silent party data volgens de EDPB niet verwerkt worden voor andere doelen dan het uitvoeren van die specifieke betaaldienstovereenkomst. 

• Antwoord 2:  Als een bedrijf klantgegevens verkeerd gebruikt, kunnen zowel klanten zelf, banken als toezichthouders hiertegen stappen ondernemen, die uiteindelijk door een rechter kunnen worden getoetst. In de eerste plaats kan een klant het aan de Autoriteit Persoonsgegevens (AP) melden als een bedrijf naar zijn mening klantgegevens gebruikt in strijd met de Algemene Verordening Gegevensbescherming (AVG) of de daarop gebaseerde uitvoeringsregelgeving. De klant kan hierover ook een klacht indienen bij de AP. Daarnaast kan een bank een bedrijf de toegang tot de betaalrekening van de klant ontzeggen als zij aanwijzingen heeft dat het bedrijf niet-toegestane of frauduleuze toegang tot de betaalrekening heeft. In dat geval moet de bank het incident ook onmiddellijk aan de Nederlandsche Bank (DNB) melden. DNB kan daarop zo nodig maatregelen nemen. Als DNB of de Autoriteit Financiële Markten (AFM) signaleren dat een bedrijf mogelijk klantgegevens verkeerd gebruikt, kunnen zij dit doorgeven aan de AP. De AP kan hierop vervolgens actie ondernemen. Bij het antwoord op vraag 3 wordt nader ingegaan op de mogelijkheden voor de AP en de betrokkene om naar de rechter te gaan. Bij het antwoord op vraag 4 wordt ingegaan op de mogelijkheden voor bedrijven om naar de rechter te gaan. 

• Antwoord 3: Op grond van de AVG kan een betrokkene die van mening is dat zijn gegevens onrechtmatig worden gebruikt daartegen een klacht indienen bij de AP. Als de AP oordeelt dat de persoonsgegevens inderdaad onrechtmatig worden verwerkt, kan zij als toezichthouder zelf handhavend optreden en maatregelen treffen, bijvoorbeeld een boete opleggen. De AP hoeft daarvoor niet naar de rechter. Een betrokkene heeft vervolgens de mogelijkheid om in beroep te gaan bij de bestuursrechter als hij het niet eens is met de wijze waarop de AP zijn klacht heeft afgedaan. Ook kan de betrokkene naar de civiele rechter om schadevergoeding te vorderen als de AP heeft geoordeeld dat er inderdaad sprake is van onrechtmatige gegevensverwerking. 

• Antwoord 4: Een betrokkene heeft de mogelijkheid om een klacht in te dienen bij de toezichthouder (in Nederland de AP), als hij van mening is dat de verwerking van zijn persoonsgegevens in strijd is met de AVG. Bij (Fintech-)bedrijven die van mening zijn dat hun concurrenten of zakenpartners in strijd met de AVG handelen, zal hiervan geen sprake zijn. In zijn algemeenheid geldt dat als een bedrijf stelt schade te lijden als gevolg van onrechtmatig handelen van een ander bedrijf, het daartegen een procedure kan starten bij de civiele rechter. Tevens kan eenieder, dus ook een Fintech-bedrijf, bij de AP een signaal afgeven over mogelijk verkeerd gebruik van persoonsgegevens. De AP beziet vervolgens of zij hieromtrent een onderzoek instelt. 

• Antwoord 5: Een doelstelling van PSD2 is het stimuleren en faciliteren van concurrentie en innovatie in de betaaldienstverlening. PSD2 creëert daartoe mogelijkheden voor toetreding van nieuwe partijen en een gelijk speelveld voor bestaande en nieuwe partijen op de Europese betaalmarkt. Alle partijen die betaaldiensten aanbieden op de Europese markt, of dat nu banken zijn, FinTech start-ups of grote technologiebedrijven, moeten voldoen aan dezelfde nieuwe PSD2 regels. Alle partijen moeten in het bezit zijn van een vergunning en staan onder permanent toezicht. Ik begrijp de zorgen over de gevolgen van PSD2 voor de concurrentiepositie van grote techbedrijven op de Europese betaalmarkt. Om die reden heb ik tijdens de kamerbehandeling van het wetsvoorstel ter implementatie van PSD2 toegezegd deze ontwikkeling te zullen monitoren. Dit wordt uitgevoerd in nauwe samenwerking met de Autoriteit Consument en Markt. Ik informeer u in het voorjaar over de stand van zaken met betrekking tot de uitvoering van deze en andere toezeggingen die ik heb gedaan in het plenaire debat over PSD2. 

• Antwoord 6: Het gebruik van betaalgegevens voor het maken van een risico-inschatting door een verzekeraar valt buiten de reikwijdte van PSD2. Gegevens van derden die daarvoor geen toestemming hebben gegeven – zogenoemde silent party data – mogen niet voor risico-inschatting worden gebruikt, omdat dit een ander doel is dan het uitvoeren van de betaaldienstovereenkomst is (zie ook antwoord op vraag 1). De kern van het verzekeringsbedrijf is het op basis van informatie over verzekerden een risico-inschatting maken en op basis daarvan een premie berekenen. Het is daarbij noodzakelijk om gebruik te maken van (persoonlijke) data. Deze persoonlijke data kunnen ook betaalgegevens omvatten, mits daarvoor een rechtsgrond aanwezig is, zoals toestemming van de betrokkene. Het geven van toestemming moet voldoen aan een aantal eisen, waaronder dat toestemming vrijelijk moet zijn gegeven. Volgens de AVG is daaraan niet voldaan als betrokkene geen echte vrije keuze heeft of zijn toestemming niet kan weigeren zonder nadelige gevolgen. De AP houdt toezicht op de naleving van deze eisen en kan zo nodig handhavend optreden. Daarnaast moet gewaakt worden voor onverzekerbaarheid voor hoge risico’s. Het Verbond van Verzekeraars heeft de Solidariteitsmonitor geïntroduceerd. Daarmee wordt voor een grote en zeer diverse groep maatmensen doorgerekend hoe de premies zich ontwikkelen. Hiermee wil het Verbond de vinger aan de pols houden. Ik vind dit een goed initiatief. Op dit moment zijn er daarmee waarborgen om het gevaar van «omkering van bewijslast» bij gebruik van betaalgegevens tegen te gaan. Dit risico vergt blijvende aandacht van verzekeraars.