Betaaldiensten

PSD2 staat voor de tweede Payment Service Directive. Het is een Europese richtlijn voor betaaldienstverleners. Deze richtlijn regelt onder meer dat niet alleen banken maar ook andere partijen toegang mogen hebben tot een betaalrekening. Deze partijen moeten daarvoor een vergunning hebben van De Nederlandsche Bank.

Betaaldienstverleners mogen alleen toegang krijgen tot persoonsgegevens voor het uitvoeren van een betaaldienst als de consument daarvoor uitdrukkelijk toestemming heeft gegeven.

In de EU gaan overal dezelfde regels gelden. Dat maakt het eenvoudiger om deze diensten aan te bieden en te gebruiken. De regels uit de richtlijn zijn omgezet in Nederlandse wetgeving.

Volgens het wetsvoorstel gaat de Autoriteit Persoonsgegevens (AP) toezicht houden op de regels van PSD2 die gaan over privacy.

Zie ook: Waarom een speciale richtlijn voor betaaldienstverleners?

De Europese PSD2-richtlijn geldt al langer maar moest nog worden omgezet in Nederlandse wetgeving. Dat gebeurt met een implementatiewet. Deze wet is op 19 februari 2019 officieel in werking getreden.  

In de implementatiewet staan de eisen van PSD2 in de Nederlandse wet uitgewerkt. Ook staat daarin vastgelegd wie daarop toezicht houdt.

Het maken van nationale PSD2-wetten moet in ieder EU-land gebeuren.

Betaaldienstverleners zijn bedrijven die betaaldiensten aanbieden of diensten die helpen overzicht te houden over afzonderlijke bankrekeningen. 

Consumenten kunnen zo’n bedrijf bijvoorbeeld inschakelen om via hun mobiel een betaling te doen. Of om een huishoudboekje bij te houden op basis van informatie van hun bankrekening.

Gevoelige persoonsgegevens

PSD2 stelt eisen aan betaaldienstverleners zodat de dienstverlening veilig verloopt. De bescherming van de privacy van consumenten is een belangrijk onderdeel omdat betaalgegevens gevoelige financiële persoonsgegevens zijn.

Uitdrukkelijke toestemming

Daarom vereist PSD2 dat consumenten alleen via uitdrukkelijke toestemming toegang kunnen verlenen tot hun persoonsgegevens, voor zover deze gegevens nodig zijn om de betaaldienst te kunnen uitvoeren.

Die uitdrukkelijke toestemming kunnen consumenten uiteraard alleen geven voor hun eigen persoonsgegevens.

Overal in de EU

Als betaaldienstverleners zich aan de PSD2-regels houden, mogen zij overal in de EU hun diensten aanbieden. Zo kunnen consumenten ook gebruikmaken van aanbieders uit andere EU-landen.

De speciale regels voor betaaldienstverleners uit de PSD2-richtlijn zijn er omdat betaalgegevens vaak gevoelige informatie bevatten over iemands privéleven.

Nieuwe betaaldiensten

Er zijn steeds meer partijen die nieuwe betaaldiensten willen aanbieden. Denk aan betaalapps die consumenten een overzicht geven van hun betaalrekeningen bij verschillende banken. Of een handige dienst die zelf betalingen regelt.

De PSD2-richtlijn geeft ruimte aan betaaldienstverleners om nieuwe betaaldiensten te ontwikkelen. Tegelijkertijd bevat de richtlijn extra regels om de privacy van consumenten te beschermen.

Algemene privacywet

Betaaldienstverleners moeten zich net als alle andere organisaties houden aan de privacywet, de Algemene verordening gegevensbescherming (AVG).

Er zijn vier toezichthouders betrokken bij het toezicht op het betalingsverkeer. Naast de Autoriteit Persoonsgegevens (AP) hebben de DNB, ACM en AFM een rol.

• De AP houdt toezicht op de bescherming van de privacy van mensen. Daarbij kijkt de AP naar de eisen in de Algemene verordening gegevensbescherming (AVG) en naar de eisen die zijn opgenomen in PSD2.
• DNB krijgt de taak om vergunningen te verlenen aan aanbieders van betaaldienstverleners. De toezichtstaak van DNB is gericht op het waarborgen van een stabiel financieel stelsel. Zowel in het belang van de burger, als in het belang van het bedrijfsleven, vindt overleg en samenwerking plaats met de AP.
• De ACM kijkt naar de concurrentie tussen aanbieders op de betaalmarkt en het verlenen van toegang door de bank tot rekeninginformatie.
• De AFM houdt toezicht op de informatieverstrekking van betaaldienstverleners. Als gedragstoezichthouder ziet de AFM erop toe dat betaaldienstverleners zorgvuldig omgaan met hun klanten.

Vanzelfsprekend werken de toezichthouders nauw samen. Dit is zowel van belang voor de burger (het gaat immers om zijn privacybescherming) als voor bedrijven (die moeten natuurlijk rechtszekerheid hebben).

De Autoriteit Persoonsgegevens (AP) is de toezichthouder op de privacywetgeving in Nederland: de Algemene verordening gegevensbescherming (AVG).

Ook ziet de AP toe op de extra regels die gelden voor betaaldienstverleners. Deze zijn vastgelegd in de tweede richtlijn Payment Service Directive (PSD2).

Advies AP over PSD2

De AP is behalve toezichthouder ook wetgevingsadviseur. Over PSD2 heeft de AP twee keer geadviseerd:

• In augustus 2017 heeft de AP geadviseerd over het wetsvoorstel Implementatiewet herziene richtlijn Betaaldiensten. De twee belangrijkste punten waren toen: verduidelijk de verhouding tussen de AVG en de PSD2-richtlijn en verduidelijk welke toezichthouder waarop toezicht houdt. Zodat mensen, bedrijven en banken en toezichthouders weten waar ze aan toe zijn.
• In januari 2018 heeft de AP geadviseerd over het implementatiebesluit PSD2. Het advies was om het gehele toezicht op de bescherming van persoonsgegevens bij betaaldiensten onder te brengen bij één toezichthouder, namelijk de AP.

Vanzelfsprekend werkt de AP bij privacybescherming binnen het betalingsverkeer nauw samen met de toezichthouders DNB, ACM en AFM.

Ja. In de hele Europese Unie gelden dezelfde eisen voor het vragen van uitdrukkelijke toestemming.

De Autoriteit Persoonsgegevens (AP) is lid van de European Data Protection Board (EDPB). Alle Europese privacytoezichthouders zijn lid van dit Europese samenwerkingsverband.

Het standpunt van de EDPB over de bescherming van persoonsgegevens door betaaldienstverleners is gepubliceerd in een brief op de website van de EDPB.

Een van de belangrijkste privacyregels uit de PSD2-richtlijn is dat betaaldienstverleners zonder uitdrukkelijke toestemming geen toegang mogen hebben tot persoonsgegevens. Dit geldt bijvoorbeeld voor rekeninghoudende betaaldienstverleners (zoals banken) en betaalinitiatiedienstverleners.

Soorten toestemming PSD2

PSD2 kent 3 soorten toestemming:

• uitdrukkelijke toestemming voor de toegang van de betaaldienstverlener tot persoonsgegevens;
• uitdrukkelijk instemming met de betaalopdracht of transactie;
• uitdrukkelijk instemming met toegang tot de betaalrekening voor rekeninginformatiedienstverleners.

Bij de laatste 2 soorten toestemming vraagt de betaaldienstverlener waar de consument de betaalrekening heeft lopen - de bank - of een andere partij toegang mag tot die rekening.

Let op: u mag alleen uitdrukkelijke toestemming vragen voor toegang tot persoonsgegevens die noodzakelijk zijn voor het aanbieden van uw betaaldienst.

Zie ook:

• Voor welke betaaldienstverleners geldt de eis van uitdrukkelijke toestemming onder PSD2?
• Aan welke eisen voor uitdrukkelijke toestemming moet ik als betaaldienstverlener voldoen?
• Hoe moet ik als betaaldienstverlener om uitdrukkelijke toestemming vragen?

Het vereiste van uitdrukkelijke toestemming voor de toegang tot persoonsgegevens geldt voor alle soorten betaaldiensten. Dit is vastgelegd in de PSD2-richtlijn. Er geldt een uitzondering voor dienstverlening die alléén bestaat uit het aanbieden van een rekeninginformatiedienst.

Uitzondering voor rekeninginformatiediensten

Het vereiste van uitdrukkelijke toestemming voor de toegang tot persoonsgegevens geldt niet als de dienstverlening alléén bestaat uit het aanbieden van een rekeninginformatiedienst, zoals een digitaal huishoudboekje.

Wel moet de consument in zo’n geval uitdrukkelijk instemmen met de dienstverlening. Dit gebeurt via een autorisatie die maximaal 90 dagen geldig is.

De rekeninginformatiedienst mag geen persoonsgegevens verwerken voor andere doelen dan het uitvoeren van de rekeninginformatiedienst. De rekeninginformatiedienst moet zich houden aan alle regels uit de Algemene verordening gegevensbescherming. 

Let op: zodra de rekeninginformatiedienst wordt gecombineerd met een andere betaaldienst, bijvoorbeeld een betaalinitiatiedienst, dan geldt het vereiste van uitdrukkelijke toestemming voor de toegang tot persoonsgegevens wél.

Meer informatie

• Naar de volledige PSD2-richtlijn
• Meer informatie over de AVG

De eis uitdrukkelijke toestemming betekent dat u afzonderlijk van de andere onderdelen van de overeenkomst een consument om toestemming vraagt om zijn of haar persoonsgegevens te verwerken.

Daarnaast moet de manier waarop u toestemming vraagt aan de volgende eisen voldoen.

Vrij

U mag als betaaldienstverlener niemand onder druk zetten om toestemming te geven. Een consument moet toestemming kunnen weigeren en mag daar geen nadeel van ondervinden.

Ondubbelzinnig

Toestemming geven moet een duidelijke actieve handeling zijn. Bijvoorbeeld een (digitale) schriftelijke of een mondelinge verklaring. Het moet in elk geval volstrekt helder zijn dát er toestemming is verleend.

U mag niet uitgaan van stilzwijgende toestemming. Het gebruik van voor-aangevinkte vakjes is dus niet toegestaan.

Geïnformeerd

U moet consumenten informeren over:

• De identiteit van de organisatie die het doel en de middelen van de verwerking van persoonsgegevens bepaalt. Dus van uw organisatie als die de verwerkingsverantwoordelijke is.
• Het doel van elke verwerking waarvoor u toestemming vraagt.
• Welke persoonsgegevens u verzamelt en gebruikt.
• Het recht dat betrokkenen hebben om de toestemming weer in te trekken.

U moet deze informatie in een toegankelijke vorm aanbieden en u moet duidelijke taal gebruiken. Zodat iemand de informatie begrijpt en een weloverwogen keuze kan maken.

Specifiek

Toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel.

Let op: als betaaldienstverlener kunt u alleen toestemming vragen voor de toegang tot en het verwerken van persoonsgegevens die noodzakelijk zijn voor het aanbieden van uw betaaldienst.

Intrekbaar

Een consument heeft het recht om zijn toestemming ook weer in te trekken. Dat moet net zo gemakkelijk voor de consument zijn als het was om de toestemming te geven. Bijvoorbeeld via een pop-up. U moet een consument hierover informeren vóórdat hij toestemming geeft.

Let op: het gevolg van het intrekken van een eerder gegeven toestemming is dat de consument geen gebruik meer kan maken van uw betaaldienst zoals hij of zij misschien gewend was. U mag de consument daar natuurlijk vooraf op wijzen.

Verantwoordingsplicht

U moet kunnen aantonen dat u op een geldige toestemming heeft gevraagd en gekregen wanneer de Autoriteit Persoonsgegevens daar om vraagt. Dit maakt onderdeel uit van uw verantwoordingsplicht onder de AVG.

U moet afzonderlijk van de andere onderdelen van de overeenkomst over de betaaldienst de consument vragen om toestemming voor toegang tot zijn of haar persoonsgegevens. U moet de manier waarop u toestemming vraagt daar dus op inrichten. Dat kan op verschillende manieren.

Stilzwijgende toestemming of vragen in te stemmen met de algemene voorwaarden van uw betaaldienst voldoen niet.

Apart van de andere onderdelen

U moet er in elk geval voor zorgen dat de consument apart van de andere onderdelen van de overeenkomst uitdrukkelijk akkoord gaat met de toegang tot zijn of haar persoonsgegevens.

In een digitale omgeving kan dat bijvoorbeeld in de vorm van een apart venster. Zoals een pop-up of een aan te vinken checkbox in een dialoog. Daarin kan de consument dan aangeven dat hij toestemming geeft voor toegang tot zijn of haar persoonsgegevens.

Zonder toestemming geen overeenkomst

Heeft u geen uitdrukkelijke toestemming gekregen? Dan zal dat tot gevolg hebben dat u de overeenkomst met de consument niet kan uitvoeren. Uiteraard mag u hier de consument bij het vragen van de toestemming op wijzen.

Meer informatie over uitdrukkelijke toestemming

• Waarvoor moet ik als betaaldienstverlener uitdrukkelijk toestemming vragen?
• Voor welke betaaldienstverleners geldt de eis van uitdrukkelijke toestemming onder PSD2?
• Aan welke eisen voor uitdrukkelijke toestemming moet ik als betaaldienstverlener voldoen?

Als betaaldienstverlener heeft u altijd een grondslag uit de Algemene verordening gegevensbescherming (AVG) nodig om persoonsgegevens te mogen verwerken. Daarnaast moet u eerst uitdrukkelijke toestemming hebben gekregen van de consument om toegang te krijgen tot zijn persoonsgegevens bij een andere betaaldienstverlener.

Uitdrukkelijke toestemming

Zonder uitdrukkelijke toestemming van een consument mag u als betaaldienstverlener geen toegang hebben tot zijn of haar persoonsgegevens. Dit is vastgelegd in de PSD2-richtlijn.

Uitdrukkelijk houdt in dat u een consument duidelijk en expliciet om toestemming moet vragen. De consument moet actief de gevraagde toestemming geven.

Let op: het vereiste van uitdrukkelijke toestemming is niet van toepassing als u alleen een rekeninginformatiedienst aanbiedt en meestal ook niet voor contracten die al zijn afgesloten.

De AVG-grondslagen

Het vereiste van uitdrukkelijke toestemming uit de PSD2-richtlijn geldt bovenop de regels uit de AVG. In de AVG staat dat organisaties zich moeten kunnen baseren op 1 van de 6 AVG-grondslagen voor het verwerken van persoonsgegevens. Voor u als betaaldienstverlener zal dit vaak de grondslag noodzakelijk voor de uitvoering van de overeenkomst zijn.

Let op: een van de grondslagen voor het verwerken van persoonsgegevens is ‘toestemming van de betrokken persoon’. Dit is níet hetzelfde als de uitdrukkelijke toestemming zoals bedoeld in de PSD2-richtlijn.

Als betaaldienstverlener moet u net als iedere andere organisatie voldoen aan de privacywet, de Algemene verordening gegevensbescherming (AVG).

Belangrijke AVG-regels

Enkele belangrijke regels uit de AVG zijn:

• U moet een grondslag hebben om persoonsgegevens te mogen verwerken.
• U kunt verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen.
• U kunt verplicht zijn om een data protection impact assessment (DPIA) uit te voeren.
• U moet werken volgens de uitgangspunten van privacy by design en default.
• U moet maatregelen treffen om persoonsgegevens goed te beveiligen.
• U moet mogelijk een register van verwerkingsactiviteiten opstellen.
• U bent verplicht om consumenten goed te informeren.
• Uw systemen, procedures en interne organisatie moeten ingericht zijn op de privacyrechten van consumenten.

Meer informatie

• Naar de infographic de AVG in een notendop
• Naar de AVG-regelhulp op de website van de Rijksdienst voor ondernemend Nederland.

Nee, in veel gevallen hoeft dat niet. De uitdrukkelijke toestemming gaat over het krijgen van toegang door de betaaldienstverlener tot persoonsgegevens bij een andere betaaldienstverlener. Bijvoorbeeld een bank.

Binnen een bestaand contract is meestal geen toegang tot persoonsgegevens bij of door een andere partij nodig.

Onder een bestaand contract wordt hier verstaan een contract dat is afgesloten voorafgaand aan de datum dat de Nederlandse wetgeving over het vereiste van uitdrukkelijke toestemming gaat gelden.

Is er binnen het bestaande contract wel toegang tot persoonsgegevens bij een andere partij nodig? Dan moet u alsnog om uitdrukkelijke toestemming van de consument vragen.

Zie ook: Wanneer mag ik als betaaldienstverlener persoonsgegevens verwerken?

Betaaldienstverleners mogen alleen met uw uitdrukkelijke toestemming toegang krijgen tot uw persoonsgegevens die noodzakelijk zijn om de betaaldiensten aan te bieden.

Daarnaast mogen betaaldienstverleners uw persoonsgegevens niet aan andere organisaties verstrekken zonder uw toestemming.

Zie ook:

• Kan een betaaldienstverlener mijn persoonsgegevens ook zien als iemand anders toestemming geeft en ik niet?
• Hoe kan ik mijn toestemming aan een betaaldienstverlener weer intrekken?

Bent u de begunstigde van een betaling? Dus maakt iemand anders geld naar u over? Dan kan de betaaldienstverlener wel persoonsgegevens zien die noodzakelijk zijn om de betaaldienst uit te voeren. Bijvoorbeeld uw naam, bankrekeningnummer, betalingskenmerk en -omschrijving.

Zonder uw uitdrukkelijke toestemming mogen er niet meer gegevens zichtbaar zijn.

Ook zelf toestemming geven bij commercieel gebruik

U kunt ook alleen zelf toestemming geven voor het commercieel gebruik van uw persoonsgegevens door een betaaldienstverlener. Bijvoorbeeld voor het analyseren van uw koopgedrag.

Een ander kan uw persoonsgegevens dus niet zonder uw toestemming aan een derde geven voor commercieel gebruik.

Zie ook: Wat kan ik doen als mijn betaalgegevens worden gebruikt terwijl ik dat niet wil?

U moet de eenmaal gegeven toestemming net zo gemakkelijk kunnen intrekken als dat u deze gegeven heeft.

Uw betaaldienstverlener moet u duidelijk hebben geïnformeerd over het feit dat u uw toestemming weer kunt intrekken. En ook hoe u dat kunt doen. De betaaldienstverlener moet u die informatie vóór het afsluiten van de overeenkomst hebben gegeven.

Let op: het gevolg van het intrekken van een eerder gegeven toestemming is dat u geen gebruik meer kan maken van de betaaldienst zoals u misschien gewend was.

Zie ook: Mag een betaaldienstverlener mijn gegevens bewaren nadat ik mijn toestemming heb ingetrokken?

Ja, maar alleen als dat noodzakelijk is. In de wet staat namelijk dat persoonsgegevens niet langer mogen worden bewaard dan nodig is.

Uw betaaldienstverlener moet u vóór het afsluiten van de overeenkomst hebben geïnformeerd over hoe lang hij uw persoonsgegevens gaat bewaren.

Is die termijn voorbij? Dan moet de betaaldienstverlener uw persoonsgegevens verwijderen of onherleidbaar maken.

Vermoedt u dat een betaaldienstverlener uw persoonsgegevens verwerkt op een manier die in strijd is met de regels? Neem dan eerst contact op met de betaaldienstverlener.

Komt u er samen niet uit? Dan kunt u een privacyklacht indienen bij de Autoriteit Persoonsgegevens (AP). Wij nemen iedere klacht in behandeling. De manier waarop we dat doen verschilt per klacht. U ontvangt altijd een reactie van de AP op uw klacht.