Uitdrukkelijke toestemming vragen als betaaldienstverlener
Een van de belangrijkste privacyregels uit PSD2 is dat u als betaaldienstverlener uitdrukkelijke toestemming van de consument nodig heeft om toegang te krijgen tot persoonsgegevens. ‘Uitdrukkelijk’ houdt in dat u een consument duidelijk en expliciet om toestemming moet vragen. De consument moet deze toestemming actief geven.
Op deze pagina
Eisen aan uitdrukkelijke toestemming
In de hele Europese Unie gelden dezelfde eisen voor het vragen van uitdrukkelijke toestemming. Uitdrukkelijke toestemming is alleen geldig als die aan de volgende eisen voldoet:
- vrij;
- ondubbelzinnig;
- geïnformeerd;
- specifiek;
- intrekbaar.
Vrij
U mag als betaaldienstverlener niemand onder druk zetten om toestemming te geven. Een consument moet vrij zijn om toestemming te weigeren en mag daarvan geen nadeel ondervinden.
Ondubbelzinnig
Toestemming geven moet een duidelijke, ondubbelzinnige en actieve handeling zijn. Bijvoorbeeld een (digitale) schriftelijke of mondelinge verklaring. Het moet in elk geval volstrekt helder zijn dat de consument toestemming heeft gegeven. Als betaaldienstverlener mag u dus niet uitgaan van stilzwijgende toestemming. Het gebruik van vooraf aangevinkte vakjes is daarom verboden.
Geïnformeerd
Als betaaldienstverlener moet u consumenten informeren over:
- uw identiteit als verwerkingsverantwoordelijke;
- het doel van elke verwerking waarvoor u toestemming vraagt;
- welke persoonsgegevens u verzamelt en gebruikt;
- het recht dat consumenten hebben om hun toestemming weer in te trekken.
U moet deze informatie in een toegankelijke vorm aanbieden. En u moet duidelijke taal gebruiken. Zodat consumenten de informatie begrijpen en een weloverwogen keuze kunnen maken.
Specifiek
Als betaaldienstverlener mag u alleen toestemming vragen voor de toegang tot en het verwerken van persoonsgegevens die noodzakelijk zijn voor het aanbieden van uw betaaldienst. Toestemming moet dus altijd gelden voor een specifieke verwerking en een specifiek doel.
Intrekbaar
Consumenten hebben altijd het recht om hun toestemming in te trekken. Dat moet net zo gemakkelijk gaan als toestemming geven. Als betaaldienstverlener moet u consumenten hierover informeren voordat zij toestemming geven.
Tip: Trekt een consument eerder gegeven toestemming in, dan kan de consument mogelijk geen gebruik meer maken van uw betaaldienst zoals diegene misschien gewend was. U mag consumenten daar natuurlijk vooraf op wijzen.
Manier om toestemming te vragen
Toestemming vragen moet u afzonderlijk doen van de andere onderdelen van de overeenkomst over de betaaldienst. U moet de manier waarop u toestemming vraagt dus daarop inrichten. Dat kan op verschillende manieren.
In een digitale omgeving kunt u dit bijvoorbeeld doen in de vorm van een apart venster. Zoals een pop-up of een aan te vinken checkbox in een dialoog. Daarin kunnen consumenten aangeven dat zij toestemming geven voor toegang tot hun persoonsgegevens.
Let op: U kunt geen toestemming vragen door consumenten te vragen in te stemmen met de algemene voorwaarden van uw betaaldienst.
Heeft u geen uitdrukkelijke toestemming gekregen? Dan kunt u de overeenkomst met de consument niet uitvoeren. Uiteraard mag u de consument hierop wijzen bij het vragen van de toestemming.
U moet kunnen aantonen dat u op een geldige manier toestemming heeft gevraagd en gekregen wanneer de Autoriteit Persoonsgegevens daarnaar vraagt. Dit maakt onderdeel uit van uw verantwoordingsplicht.
Infographic uitdrukkelijke toestemming PSD2
In de Infographic uitdrukkelijke toestemming PSD2 ziet u de eisen aan uitdrukkelijke toestemming nog eens op een rij.
Bestaande contracten
Bij een bestaand contract hoeft u meestal niet alsnog toestemming te vragen voor toegang tot persoonsgegevens. Onder een bestaand contract wordt verstaan: een contract dat is afgesloten vóór 19 februari 2019. Dat is de datum dat PSD2 in Nederland van kracht werd.
Binnen een bestaand contract heeft u als betaaldienstverlener meestal geen toegang nodig tot persoonsgegevens bij een andere partij, zoals een bank. Is er binnen het bestaande contract wél toegang tot persoonsgegevens bij een andere partij nodig? Dan moet u alsnog om uitdrukkelijke toestemming van de consument vragen.
Uitzondering: rekeninginformatiedienst
Uitdrukkelijke toestemming voor de toegang tot persoonsgegevens is niet vereist als de dienstverlening alléén bestaat uit het aanbieden van een rekeninginformatiedienst. Zoals een digitaal huishoudboekje. De consument moet dan wel uitdrukkelijk instemmen met de dienstverlening. Dit gebeurt via een autorisatie die maximaal 90 dagen geldig is.
U mag als rekeninginformatiedienstverlener geen persoonsgegevens verwerken voor andere doelen dan het uitvoeren van de rekeninginformatiedienst. U moet zich houden aan alle regels uit de Algemene verordening gegevensbescherming (AVG).
Let op: Combineert u uw rekeninginformatiedienst met een andere betaaldienst? Bijvoorbeeld een betaalinitiatiedienst? Dan moet u wél uitdrukkelijke toestemming vragen voor de toegang tot persoonsgegevens.