Implementatie wet herziene richtlijn betaaldiensten

PSD II bevat het vereiste dat een betaaldienstverlener voor het verkrijgen van toegang tot persoonsgegevens die nodig zijn voor het verlenen van betaaldiensten uitdrukkelijke toestemming nodig heeft van de betaaldienstgebruiker (artikel 94(2) PSD II). In deze nota van wijziging wordt voorgesteld het toezicht op dit vereiste toe te delen aan de Autoriteit persoonsgegevens, die daarvoor het best geëquipeerd is. De wijzigingen betreffen verder enkele technische reparaties van het wetsvoorstel en enkele aanvullingen.

Toestemming

Als een betaaldienstgebruiker gebruik wil maken van een betaalinitiatiedienst of rekeninginformatiedienst dient hij daartoe een overeenkomst te sluiten met een betaalinitiatie- of rekeninginformatiedienstverlener. In of bij deze overeenkomst dient de betreffende betaaldienstverlener de betaaldienstgebruiker om uitdrukkelijke toestemming te vragen voor de toegang tot persoonsgegevens die nodig zijn om de betreffende betaaldienst te verlenen (artikel 94(2) PSD II). Als de overeenkomst is gesloten en die uitdrukkelijke toestemming is verleend dient een betaaldienstgebruiker in geval van een betaalinitiatiedienst in beginsel voor het initiëren van elke betalingstransactie afzonderlijk uitdrukkelijk toestemming te verlenen aan de betaalinitiatiedienstverlener (artikel 66(2) PSD II). Dit is in feite een opdracht tot het initiëren van de betreffende betalingstransactie. Nadat de betaaldienstgebruiker zich via sterke cliëntauthenticatie heeft geïdentificeerd jegens de betaaldienstverlener, krijgt deze laatste toegang tot de betaalrekening en kan de opdracht worden uitgevoerd.

90 dagen

Voor gebruik van een rekeninginformatiedienst is de uitdrukkelijke toestemming (artikel 67(2)(a) PSD II) van de betaaldienstgebruiker tot negentig dagen geldig. Als meer dan negentig dagen zijn verstreken sinds de laatste keer dat de betaaldienstgebruiker toestemming gaf aan de rekeninginformatiedienstverlener voor het verkrijgen van toegang tot zijn betaalrekening, wordt de betaaldienstgebruiker opnieuw om toestemming gevraagd. Geeft de gebruiker de toestemming niet, dan heeft de betaaldienstverlener vanaf dat moment niet langer toegang tot de betaalrekening.

Privacy

De leden van de SP-fractie zouden graag zien dat Nederland regelt dat mensen per keer toestemming verlenen voor het uitwisselen van betaalgegevens en dat zij daarbij ook grenzen kunnen aangeven. Zodat zij bijvoorbeeld hun pingedrag of waar zij precies aankopen doen, kunnen afschermen. Deze informatie is namelijk goud waard maar kan ook leiden tot problemen. Het schendt de privacy als een hypotheekverstrekker inzicht heeft in hoeveel geld iemand uitgeeft aan een hobby bijvoorbeeld. Het is niet nodig dat een financiële instelling weet dat iemand zwanger is omdat hij of zij boodschappen doet bij een babywinkel op internet. Zo zijn er nog vele duizenden voorbeelden te geven van gegevens die niet behoren te worden blootgesteld door deze richtlijn. Erkent de regering dat?

Bescherming tegen onrechtmatige gegevensverwerking is reeds op diverse plekken geregeld. Zowel in PSD II als in de AVG zijn strikte doelbeperkingen vastgelegd. Dit betekent dat de gegevens niet mogen worden verwerkt voor andere doeleinden dan waarvoor de toestemming is gegeven. Het regelgevend kader van PSD II en de AVG biedt volgens de regering voldoende waarborgen om de situaties die de SP noemt, te voorkomen.

Bron: Rijksoverheid