Privacyregels voor betaaldienstverleners
Als betaaldienstverlener moet u zich aan PSD2 houden. Dat betekent dat u eerst uitdrukkelijke toestemming moet vragen aan consumenten om toegang te krijgen tot hun persoonsgegevens. Daarnaast moet u zich houden aan de privacywet, de Algemene verordening gegevensbescherming (AVG).
Op deze pagina
Financiële persoonsgegevens
Een belangrijk onderdeel van uw bedrijfsmodel is gebaseerd op de verwerking van persoonsgegevens, waaronder financiële gegevens. Dat zijn gevoelige persoonsgegevens. Dit betekent dat de verwerking daarvan verhoogde risico’s oplevert voor de desbetreffende persoon. Het is daarom belangrijk dat u heel zorgvuldig met financiële persoonsgegevens omgaat.
AVG-grondslag
Dat u zich aan de AVG moet houden, betekent onder meer dat u een grondslag nodig heeft om persoonsgegevens te mogen verwerken. Die grondslag komt bovenop de uitdrukkelijke toestemming van de consument.
In de AVG staat dat organisaties zich moeten kunnen baseren op 1 van de 6 AVG-grondslagen voor het verwerken van persoonsgegevens. Voor u als betaaldienstverlener zal dit vaak de grondslag overeenkomst zijn.
Let op: Een van de grondslagen voor het verwerken van persoonsgegevens is toestemming. Dit is echter niet hetzelfde als de uitdrukkelijke toestemming zoals bedoeld in PSD2.
Andere regels uit de AVG
Naast de vereiste grondslag zijn enkele belangrijke regels uit de AVG:
- U kunt verplicht zijn om een functionaris gegevensbescherming (FG) aan te stellen.
- U kunt verplicht zijn om een data protection impact assessment (DPIA) uit te voeren.
- U moet werken volgens de uitgangspunten van privacy by design en default.
- U moet maatregelen treffen om persoonsgegevens goed te beveiligen.
- U moet mogelijk een verwerkingsregister opstellen.
- U bent verplicht om consumenten goed te informeren.
- Uw systemen, procedures en interne organisatie moeten ingericht zijn op de privacyrechten van consumenten.
Wilt u meer weten? Lees dan de Informatiebrief PSD2 voor betaaldienstverleners van de AP.
Wisselwerking PSD2 en AVG
De European Data Protection Board (EDPB) heeft guidelines opgesteld over de wisselwerking tussen PSD2 en de AVG:
- EDPB-guidelines on the interplay of the Second Payment Services Directive and the GDPR
- Nederlandse vertaling EDPB-guidelines wisselwerking PSD2 en AVG
Toezicht op PSD2 en AVG
Er zijn 4 toezichthouders betrokken bij het toezicht op het betalingsverkeer. Naast de Autoriteit Persoonsgegevens (AP) hebben De Nederlandsche Bank (DNB), de Autoriteit Consument en Markt (ACM) en de Autoriteit Financiële Markten (AFM) een rol.
- De AP houdt toezicht op de bescherming van persoonsgegevens. Daarbij kijkt de AP naar de eisen in de AVG en de eisen die zijn opgenomen in PSD2.
- DNB verleent vergunningen aan aanbieders van betaaldiensten.
- De ACM kijkt naar de concurrentie tussen aanbieders op de betaalmarkt en naar het verlenen van toegang door de bank tot rekeninginformatie.
- De AFM houdt toezicht op de informatieverstrekking van betaaldienstverleners.
Vanzelfsprekend werken deze toezichthouders nauw samen. Dit is zowel van belang voor consumenten (privacybescherming) als voor bedrijven (rechtszekerheid).