Go to content
man-iphone-400x200
27/11/18

Eén klik en al je betaalgegevens liggen op straat?

Door nieuwe Europese regels kunnen financiële partijen makkelijker data van hun klanten gebruiken en koppelen, bijvoorbeeld voor een digitaal huishoudboekje. De consument moet wel toestemming geven. Hoe ziet dat eruit in de praktijk? Hoe gaan aanbieders ons sturen data te delen?

De Payment Services Directive 2 (PSD2) is een Europese wet uit 2018 die nu in Nederlandse wetgeving wordt geïmplementeerd. De wet maakt het bijvoorbeeld mogelijk dat niet alleen de eigen bank, maar ook andere partijen inzicht krijgen in betaalgegevens van consumenten. Maar dan wel alleen met uitdrukkelijke toestemming van de klant.

Want die gegevens zijn namelijk zeer privacygevoelig. Weinig mensen zullen het een fijn idee vinden als op straat ligt hoeveel salaris ze iedere maand krijgen. En ook voor roodstand en consumptief krediet schamen we ons.

Onder meer de Consumentenbond (‘bescherming tegen lichtvaardig delen van persoonlijke betaalgegevens’) en de Tweede Kamer maken zich zorgen hoe toestemming voor het delen van betaaldata gegeven en verkregen gaat worden. Mijn collega Lars schreef in ons eerste blog al: ‘online geven we eenvoudig informatie over onszelf prijs (…) ik wil gewoon snel toegang krijgen’.

Eind 2016 waarschuwde AFM’er Reinier Pollmann al: ‘Met die betaalgegevens kunnen bedrijven prachtige diensten voor ons consumenten ontwikkelen, maar daar kunnen ze ook hele nare dingen mee doen.’ Bijvoorbeeld oneigenlijke prijsdiscriminatie op basis van je betaalgegevens.

Uitdrukkelijke toestemming

De Autoriteit Persoonsgegevens (AP) heeft op 18 oktober 2018 betaaldienstverleners uitleg gegeven over uitdrukkelijke toestemming onder PSD2. Consumenten moeten actief de gevraagde toestemming geven en dat moet afzonderlijk van de andere onderdelen van een overeenkomst gebeuren. Actief betekent volgens AP: “U mag niet uitgaan van stilzwijgende toestemming. Het gebruik van voor-aangevinkte vakjes is dus niet toegestaan.” De default, de standaardoptie, is dus dat de gebruiker geen toestemming geeft. Andere eisen zijn: vrij (niet onder druk zetten), ondubbelzinnig, geïnformeerd, specifiek, en intrekbaar. De dienstverlener moet ook aan AP kunnen aantonen dat ze geldige toestemming heeft gevraagd en gekregen.

Wat doen de toezichthouders?

De Autoriteit Persoonsgegevens houdt nauwlettend de privacy-gevolgen van PSD2 in de gaten. En De Nederlandsche Bank (DNB) is de toezichthouder die vergunningen verleent aan nieuwe toetreders. Bijvoorbeeld de FinTech start-up die een digitaal kasboekje in een app wil aanbieden. Tech-giganten hebben vaak al een vergunning voor financiële producten, zoals Google als elektronischgeldinstelling in het Verenigd Koninkrijk, of Facebook als betaalinstelling in Ierland. Met een Europees paspoort mogen ze dan ook in Nederland actief zijn.

De AFM onderhoudt contact met AP, DNB en ACM over PSD2. En kijkt bijvoorbeeld naar de informatieverstrekking van betaaldienstverleners, of toepassing van gegevens bij financieel advies. Meer informatie over wie wat doet bij PSD2 op afm.nl.

wilte-bioWilte Zijlstra werkt sinds 2006 bij de AFM. Hij is toezichthouder bij team Consumentengedrag van het Expertisecentrum. Via zijn consumentenonderzoek haalt de AFM de stem van de consument van buiten naar binnen voor efficiënter en effectiever toezicht. Wilte is gepromoveerd evolutiebioloog. Voor hij bij de AFM kwam werken, gaf hij les en werkte hij bij een zorgverzekeraar.

Contact bij dit artikel

AFM

Wilt u het laatste nieuws van de AFM ontvangen?

Schrijft u zich dan in voor onze nieuwsbrief, dan houden wij u op de hoogte.