Privacy

PSD-2 Privacy

Meest gestelde vragen:

Is mijn privacy gewaarborgd?
Uw betaalgegevens en de verwerking daarvan zijn uitgebreid gereguleerd. Vanaf 25 mei 2018 is de Europese Algemene Verordening Gegevensbescherming van toepassing voor uw bank, voor de betaalinitiatiedienstverlener en de rekeninginformatiedienstverlener. Daarnaast bevat PSD2 aanvullende eisen voor de nieuwe dienstverleners, waaronder dat u toestemming moet geven voor toegang tot uw betaalrekening(en). Als u geen toestemming geeft, blijven uw gegevens bij uw bank. Dan worden de gegevens niet gedeeld met de dienstverlener. In Nederland zien de Autoriteit Persoonsgegevens en DNB erop toe dat uw bank en de nieuwe dienstverleners aan de Europese eisen (zoals de Algemene Verordening Gegevensbescherming en PSD2) voldoen. Dit biedt echter geen absolute garantie. Als de bank of de nieuwe dienstverlener niet aan de eisen voldoet, kan de Autoriteit Persoonsgegevens of DNB een boete opleggen.
Welke eisen stelt PSD2 om mijn privacy te beschermen?

PSD2 bevat een aantal eisen die bedoeld zijn om uw privacy te beschermen, zowel voor de betaalinitiatiedienstverlener als de rekeninginformatiedienstverlener. Ook is de Europese Algemene Verordening Gegevensbescherming vanaf 25 mei 2018 van toepassing.

Betaalinitiatiedienstverlener
Een betaalinitiatiedienstverlener mag informatie over de betaler alleen en met uw uitdrukkelijke toestemming aan de begunstigde verstrekken. De betaalinitiatiedienstverlener mag geen gevoelige betaalgegevens opslaan. (Dit zijn gegevens waarmee fraude kan worden gepleegd, zoals bijvoorbeeld de beveiligingscodes van de bank voor de rekeninghouder. De naam van de rekeninghouder en diens rekeningnummer zijn niet gevoelig.) Hij mag niet meer informatie van de betaler vragen dan nodig voor zijn dienstverlening. Hij mag gegevens niet benaderen, gebruiken of opslaan voor een ander doel dan de betaalinitiatiedienst waarom de betaler heeft verzocht.

Rekeninginformatiedienstverlener
In het geval van een rekeninginformatiedienst moet de consument in uitdrukkelijk instemmen met de dienstverlening.  De dienstverlener mag alleen informatie benaderen van rekeningen, die daarvoor zijn aangewezen. De rekeninginformatiedienstverlener mag geen gevoelige betaalgegevens opvragen. (Dit zijn gegevens waarmee fraude kan worden gepleegd, zoals bijvoorbeeld de beveiligingscodes van de bank voor de rekeninghouder. De naam van de rekeninghouder en diens rekeningnummer zijn niet gevoelig.) Hij mag gegevens niet benaderen, gebruiken of opslaan voor een ander doel dan de rekeninginformatiedienst waarom de klant heeft verzocht.

Algemene eisen
Naast de eisen die PSD2 stelt om uw privacy te beschermen, is sinds 25 mei 2018 de Algemene Verordening Gegevensbescherming van toepassing. Deze is van toepassing op wat uw bank, de betaalinitiatiedienstverlener en de rekeninginformatiedienstverlener met uw persoonsgegevens doen en stelt daaraan strikte eisen.

Welke informatie ziet de betaaldienstverlener als ik toestemming voor toegang tot mijn rekening geef?

Als u toestemming aan de betaalinitiatiedienstverlener geeft, geeft deze namens u opdracht aan uw bank de betaling te starten. Als uw bank de opdracht heeft ontvangen, geeft zij al de informatie die zij heeft over de uitvoering van de transactie aan de betaalinitiatiedienstverlener. Dit betreft onder meer of het saldo voldoende is, of alle gegevens juist zijn en of de transactie kan worden uitgevoerd.

Als u toestemming geeft aan de rekeninginformatiedienstverlener, geeft u deze toegang tot uw betaalrekening. Daarmee geeft u hem inzage in uw transacties. De transactiegeschiedenis die de rekeninginformatiedienstverlener kan inzien, is vooralsnog afhankelijk van de gebruikte (technische) communicatiemethode tussen de bank en de rekeninginformatiedienstverlener. Als uw bank een apart technisch communicatiekanaal heeft geopend, kan de bank bepalen welke gegevens de rekeninginformatiedienstverlener ziet.

Moet ik mijn beveiligingscodes delen met derde partijen wanneer ik toestemming geef aan een betaalinitiatiedienstverlener of rekeninginformatiedienstverlener?

De pincode die hoort bij uw bankpas, die u bijvoorbeeld gebruikt om in te loggen in uw internetbankieromgeving of geld op te nemen bij een betaalautomaat, hoeft u nooit te delen. Beveiligingscodes anders dan uw pincode, zoals de codes die uw kaartlezer gen er eert, of in uw mobiel bankierenomgeving , zouden mogelijk wel gedeeld moeten worden met de betaalinitiatiedienstverlener. Aan het inzien en het gebruik van deze en andere gegevens zijn overigens strikte regels verbonden. Zo schrijft artikel 66 PSD2 de regels voor betaalinitiatiedienstverleners op dit gebied voor en doet artikel 67 hetzelfde voor rekeninginformatiedienstverleners, zoals het niet mogen delen van persoonlijke beveiligingsgegevens met andere partijen. Daarnaast moeten ondernemingen zich ook houden aan de privacywetgeving.


Waarom is rekeninginformatie zo privacygevoelig?

Wanneer u een rekeninginformatiedienstverlener toegang verleent tot uw betaalrekening, geeft u hem daarmee inzage in uw transacties. Dit kunnen alledaagse transacties zijn, bijvoorbeeld uw boodschappen bij de supermarkt of bijvoorbeeld een cadeau dat u hebt gekocht bij een online-winkel. En het kunnen transacties zijn die heel privé zijn, zoals contributie aan een vereniging, of een rekening van een hulpverlener of apotheek. Aan de hand van die transacties zou de dienstverleners informatie kunnen krijgen over wat uw voorkeuren zijn en uw gedrag in kaart kunnen brengen.

Een betaaldienstverlener mag uw gegevens niet benaderen, gebruiken of opslaan voor een ander doel dan de rekeninginformatiedienst waarom u heeft verzocht. De dienstverlener mag alleen de informatie gebruiken die voor die dienst nodig is.

Mocht de dienstverlener uw gegevens toch voor andere doeleinden willen gebruiken, dan moet die dienstverlener zorgen dat dit is toegestaan op grond van de Algemene Verordening Gegevensbescherming. De Autoriteit Persoonsgegevens houdt hier toezicht op.

Wat kan de betaaldienstverlener met deze data doen?

De betaaldienstverlener mag alleen data opslaan voor de dienst waarvoor de gebruiker toestemming heeft gegeven. De betaaldienstverlener mag de data niet voor eigen doeleinden (zoals advies of reclame) opslaan. Wel mag de rekeninginformatiedienstverlener data van meerdere rekeningen bij uw bank(en) samenvoegen en u een overzicht daarvan presenteren, als u daarvoor toestemming heeft gegeven. Als de rekeninginformatiedienstverlener met deze data u (financieel) advies wil geven, verlangt DNB dat hij hiervoor opnieuw uw toestemming vraagt. Bij financieel advies heeft de dienstverlener ook een vergunning nodig van de Autoriteit Financiële Markten. Verder is de Europese Algemene Verordening Gegevensbescherming van toepassing. In het algemeen dient een betaaldienstverlener, als er geen wettelijke of contractuele verplichting is, steeds uw toestemming te vragen om de gegevens te verwerken.

Wat kan ik doen als ik de dienstverlening niet langer vertrouw?
Als u de dienstverlening niet langer vertrouwt, kunt u meerdere dingen doen. U kunt de dienstverlener om informatie vragen, u kunt uw toestemming voor de dienstverlening intrekken, u kunt de dienstverlener vragen uw persoonsgegevens te wissen of u kunt de Autoriteit Financiële Markten (zie het meldpunt van de AFM of via het AFM contactformulier ), dan wel de Autoriteit Persoonsgegevens informeren. Let op: als u een betaling via een betaalinitiatiedienstverlener doet, kunt u deze niet meer terugdraaien. Alleen als u geen toestemming heeft gegeven, als een transactie onjuist is uitgevoerd, of als de bank vermoedens van fraude heeft dient de bank de transactie terug te draaien en het geld terug te storten.
Kan ik mijn toestemming voor toegang tot mijn rekening intrekken?

Ja, maar PSD2 regelt dit niet. Dit is geregeld in de Europese Algemene Verordening Gegevensbescherming. U mag verwachten dat het intrekken van uw toestemming gemakkelijk is en dat de rekeninginformatiedienstverlener u daarover duidelijk informeert.

Wat gebeurt er met mijn data, als ik mijn toestemming voor toegang tot mijn rekening intrek?

Als u uw toestemming intrekt, heeft de betaaldienstverlener geen toegang meer tot uw rekening. Daarmee zijn uw gegevens nog niet gewist. Op grond van de Europese Algemene Verordening Gegevensbescherming heeft u mogelijk het recht op gegevenswissing. Dit wil zeggen dat u de betaaldienstverlener kunt vragen uw persoonsgegevens te wissen.