Privacy

PSD-2 Privacy

Meest gestelde vragen:

Is mijn privacy gewaarborgd?

Uw betaalgegevens en de verwerking daarvan zijn uitgebreid gereguleerd. Zo geldt tot 25 mei 2018 de Wet bescherming persoonsgegevens. Vanaf die datum is de Europese Algemene Verordening Gegevensbescherming van toepassing voor uw bank, voor de betaalinitiatiedienstverlener en de rekeninginformatiedienstverlener. Daarnaast bevat PSD2 aanvullende eisen voor de nieuwe dienstverleners, waaronder dat u toestemming moet geven voor toegang tot uw betaalrekening(en). Als u geen toestemming geeft, blijven uw gegevens bij uw bank. Dan worden de gegevens niet gedeeld met de dienstverlener. In Nederland zien de Autoriteit Persoonsgegevens en DNB erop toe dat uw bank en de nieuwe dienstverleners aan de Europese eisen (zoals de Algemene Verordening Gegevensbescherming en PSD2) voldoen. Dit biedt echter geen absolute garantie. Als de bank of de nieuwe dienstverlener niet aan de eisen voldoet, kan de Autoriteit Persoonsgegevens of DNB een boete opleggen.

Welke eisen stelt PSD2 om mijn privacy te beschermen?

PSD2 bevat een aantal eisen die bedoeld zijn om uw privacy te beschermen, zowel voor de betaalinitiatiedienstverlener als de rekeninginformatiedienstverlener. Ook is de Europese Algemene Verordening Gegevensbescherming vanaf 25 mei 2018 van toepassing.

Betaalinitiatiedienstverlener
Een betaalinitiatiedienstverlener mag informatie over de betaler alleen en met uw uitdrukkelijke toestemming aan de begunstigde verstrekken. De betaalinitiatiedienstverlener mag geen gevoelige betaalgegevens opslaan. (Dit zijn gegevens waarmee fraude kan worden gepleegd. De naam van de rekeninghouder en diens rekeningnummer zijn niet gevoelig.) Hij mag niet meer informatie van de betaler vragen dan nodig voor zijn dienstverlening. Hij mag gegevens niet benaderen, gebruiken of opslaan voor een ander doel dan de betaalinitiatiedienst waarom de betaler heeft verzocht.

Rekeninginformatiedienstverlener
De rekeninginformatiedienstverlener mag alleen zijn diensten verlenen met uitdrukkelijke toestemming van de gebruiker. Hij mag alleen informatie benaderen van rekeningen, die daarvoor zijn aangewezen. De rekeninginformatiedienstverlener mag geen gevoelige betaaldata opvragen. (Dit zijn gegevens waarmee fraude kan worden gepleegd. De naam van de rekeninghouder en diens rekeningnummer zijn niet gevoelig.) Hij mag gegevens niet benaderen, gebruiken of opslaan voor een ander doel dan de rekeninginformatiedienst waarom de klant heeft verzocht.

Algemene eisen
Naast de eisen die PSD2 stelt om uw privacy te beschermen, geldt vanaf 25 mei 2018 de Europese Algemene Verordening Gegevensbescherming. Deze is van toepassing op wat uw bank, de betaalinitiatiedienstverlener en de rekeninginformatiedienstverlener met uw gegevens doen.

Welke informatie ziet de betaaldienstverlener als ik toestemming voor toegang tot mijn rekening geef?

Als u toestemming aan de betaalinitiatiedienstverlener geeft, geeft deze namens u opdracht aan uw bank de betaling te starten. Als uw bank de opdracht heeft ontvangen, geeft zij al de informatie die zij heeft over de uitvoering van de transactie aan de betaalinitiatiedienstverlener. Dit betreft onder meer of het saldo voldoende is, of alle gegevens juist zijn en of de transactie kan worden uitgevoerd.

Als u toestemming geeft aan de rekeninginformatiedienstverlener, geeft u deze toegang tot uw betaalrekening. Daarmee geeft u hem inzage in uw transacties. De transactiegeschiedenis die de rekeninginformatiedienstverlener kan inzien, is vooralsnog afhankelijk van de gebruikte (technische) communicatiemethode tussen de bank en de rekeninginformatiedienstverlener. Als uw bank een apart technisch communicatiekanaal heeft geopend, kan de bank bepalen welke gegevens de rekeninginformatiedienstverlener ziet.

Wat kan de betaaldienstverlener met deze data doen?

De betaaldienstverlener mag alleen data opslaan voor de dienst waarvoor de gebruiker toestemming heeft gegeven. De betaaldienstverlener mag de data niet voor eigen doeleinden (zoals advies of reclame) opslaan. Wel mag de rekeninginformatiedienstverlener data van meerdere rekeningen bij uw bank(en) samenvoegen en u een overzicht daarvan presenteren, als u daarvoor toestemming heeft gegeven. Als de rekeninginformatiedienstverlener met deze data u (financieel) advies wil geven, verlangt DNB dat hij hiervoor opnieuw uw toestemming vraagt. Bij financieel advies heeft de dienstverlener ook een vergunning nodig van de Autoriteit Financiƫle Markten. Verder is de Europese Algemene Verordening Gegevensbescherming van toepassing. In het algemeen dient een betaaldienstverlener, als er geen wettelijke of contractuele verplichting is, steeds uw toestemming te vragen om de gegevens te verwerken.

Wat kan ik doen als ik de dienstverlening niet langer vertrouw?

Als u de dienstverlening niet langer vertrouwt, kunt u meerdere dingen doen. U kunt de dienstverlener om informatie vragen, u kunt uw toestemming voor de dienstverlening intrekken, u kunt de dienstverlener vragen uw persoonsgegevens te wissen of u kunt de Autoriteit Financiƫle Markten, dan wel de Autoriteit Persoonsgegevens informeren. Let op: als u een betaling via een betaalinitiatiedienstverlener doet, kunt u deze niet meer terugdraaien.

Kan ik mijn toestemming voor toegang tot mijn rekening intrekken?

Ja, maar PSD2 regelt dit niet. Dit is geregeld in de Europese Algemene Verordening Gegevensbescherming. U mag verwachten dat het intrekken van uw toestemming gemakkelijk is en dat de rekeninginformatiedienstverlener u daarover duidelijk informeert.

Wat gebeurt er met mijn data, als ik mijn toestemming voor toegang tot mijn rekening intrek?

Als u uw toestemming intrekt, heeft de betaaldienstverlener geen toegang meer tot uw rekening. Daarmee zijn uw gegevens nog niet gewist. Op grond van de Europese Algemene Verordening Gegevensbescherming heeft u mogelijk het recht op gegevenswissing. Dit wil zeggen dat u de betaaldienstverlener kunt vragen uw persoonsgegevens te wissen.