Uitdrukkelijke toestemming vragen als betaaldienstverlener

Een van de belangrijkste privacyregels uit PSD2 is dat u als betaaldienstverlener uitdrukkelijke toestemming van de consument nodig heeft om toegang te krijgen tot persoonsgegevens. ‘Uitdrukkelijk’ houdt in dat u een consument duidelijk en expliciet om toestemming moet vragen. De consument moet deze toestemming actief geven.

Op deze pagina

Eisen aan uitdrukkelijke toestemming

In de hele Europese Unie gelden dezelfde eisen voor het vragen van uitdrukkelijke toestemming. Uitdrukkelijke toestemming is alleen geldig als die aan de volgende eisen voldoet:

  • vrij;
  • ondubbelzinnig;
  • geïnformeerd;
  • specifiek;
  • intrekbaar.

Vrij

U mag als betaaldienstverlener niemand onder druk zetten om toestemming te geven. Een consument moet vrij zijn om toestemming te weigeren en mag daarvan geen nadeel ondervinden.

Ondubbelzinnig

Toestemming geven moet een duidelijke, ondubbelzinnige en actieve handeling zijn. Bijvoorbeeld een (digitale) schriftelijke of mondelinge verklaring. Het moet in elk geval volstrekt helder zijn dat de consument toestemming heeft gegeven. Als betaaldienstverlener mag u dus niet uitgaan van stilzwijgende toestemming. Het gebruik van vooraf aangevinkte vakjes is daarom verboden.

Geïnformeerd

Als betaaldienstverlener moet u consumenten informeren over:

  • uw identiteit als verwerkingsverantwoordelijke;
  • het doel van elke verwerking waarvoor u toestemming vraagt;
  • welke persoonsgegevens u verzamelt en gebruikt;
  • het recht dat consumenten hebben om hun toestemming weer in te trekken.

U moet deze informatie in een toegankelijke vorm aanbieden. En u moet duidelijke taal gebruiken. Zodat consumenten de informatie begrijpen en een weloverwogen keuze kunnen maken.

Specifiek

Als betaaldienstverlener mag u alleen toestemming vragen voor de toegang tot en het verwerken van persoonsgegevens die noodzakelijk zijn voor het aanbieden van uw betaaldienst. Toestemming moet dus altijd gelden voor een specifieke verwerking en een specifiek doel.

Intrekbaar

Consumenten hebben altijd het recht om hun toestemming in te trekken. Dat moet net zo gemakkelijk gaan als toestemming geven. Als betaaldienstverlener moet u consumenten hierover informeren voordat zij toestemming geven.

Manier om toestemming te vragen

Toestemming vragen moet u afzonderlijk doen van de andere onderdelen van de overeenkomst over de betaaldienst. U moet de manier waarop u toestemming vraagt dus daarop inrichten. Dat kan op verschillende manieren. 

In een digitale omgeving kunt u dit bijvoorbeeld doen in de vorm van een apart venster. Zoals een pop-up of een aan te vinken checkbox in een dialoog. Daarin kunnen consumenten aangeven dat zij toestemming geven voor toegang tot hun persoonsgegevens.

Heeft u geen uitdrukkelijke toestemming gekregen? Dan kunt u de overeenkomst met de consument niet uitvoeren. Uiteraard mag u de consument hierop wijzen bij het vragen van de toestemming.

U moet kunnen aantonen dat u op een geldige manier toestemming heeft gevraagd en gekregen wanneer de Autoriteit Persoonsgegevens daarnaar vraagt. Dit maakt onderdeel uit van uw verantwoordingsplicht.

Infographic uitdrukkelijke toestemming PSD2

In de Infographic uitdrukkelijke toestemming PSD2 ziet u de eisen aan uitdrukkelijke toestemming nog eens op een rij.

Bestaande contracten

Bij een bestaand contract hoeft u meestal niet alsnog toestemming te vragen voor toegang tot persoonsgegevens. Onder een bestaand contract wordt verstaan: een contract dat is afgesloten vóór 19 februari 2019. Dat is de datum dat PSD2 in Nederland van kracht werd. 

Binnen een bestaand contract heeft u als betaaldienstverlener meestal geen toegang nodig tot persoonsgegevens bij een andere partij, zoals een bank. Is er binnen het bestaande contract wél toegang tot persoonsgegevens bij een andere partij nodig? Dan moet u alsnog om uitdrukkelijke toestemming van de consument vragen.

Uitzondering: rekeninginformatiedienst

Uitdrukkelijke toestemming voor de toegang tot persoonsgegevens is niet vereist als de dienstverlening alléén bestaat uit het aanbieden van een rekeninginformatiedienst. Zoals een digitaal huishoudboekje. De consument moet dan wel uitdrukkelijk instemmen met de dienstverlening. Dit gebeurt via een autorisatie die maximaal 90 dagen geldig is.

U mag als rekeninginformatiedienstverlener geen persoonsgegevens verwerken voor andere doelen dan het uitvoeren van de rekeninginformatiedienst. U moet zich houden aan alle regels uit de Algemene verordening gegevensbescherming (AVG)