Door de PSD2 (Payment Services Directive 2) ontstaan privacyrisico’s. Banken, fintechs en politici zeggen dat privacy in de PSD2 afdoende beschermd is en hebben nauwelijks oog voor risico’s die ontstaan. Hierom is Privacy First enkele projecten rondom PSD2 gestart. De site psd2meniet.nl is de thuisbasis voor het PSD2-me-niet-register. In dit project zoeken we naar oplossingen voor het kernprobleem van de PSD2: het is niet mogelijk om betalingsgegevens te filteren.
Oplossingen
De kern van het privacyvraagstuk van de PSD2 ontstaat doordat consumenten geen zeggenschap hebben over welke gegevens door een PSD2 dienstverlener verwerkt worden. Je geeft toestemming om al je gegevens te delen, of je deelt niets. Maar zelfs als je niets wilt delen, worden je gegevens toch verspreid. We willen voorkomen dat je gegevens lekken of dat teveel gegevens worden gedeeld. Daarom ontwikkelen we een PSD2-me-niet-register waarmee gegevens gefilterd kunnen worden.
Met het PSD2-me-niet-register werken we aan een opt-out register dat ervoor moet zorgen dat bancaire gegevens niet ongewenst aan derden worden verstrekt. Het idee is op 7 januari 2019 gelanceerd in het televisieprogramma Radar en in dit persbericht. Het PSD2-me-niet-register moet gebruikers daadwerkelijk een instrument geven waarmee zij hun eigen persoonsgegevens kunnen beschermen. Op termijn moet verdergaande filtering en beperking mogelijk worden.
- Beperken en filteren: consumenten kunnen de hoeveelheid bankgegevens niet beperken of filteren. Zelfs als een financiële dienstverlener deze gegevens niet nodig heeft, wordt na het geven van toestemming toch alle data gedeeld.
- Silent third party: in de bankgegevens van een consument staan ook de gegevens van andermans tegenrekening, de ‘silent third party’. Deze persoon weet niet dat zijn gegevens gedeeld worden en kan dit ook niet verhinderen. Doordat de transactiedata via Big Data en data-analyses veel breder geanalyseerd zullen worden dan voor de inwerkingtreding van PSD2 ontstaan grote risico’s op privacyschendingen.
- Filteren van bijzondere persoonsgegevens: Bankgegevens bevatten “bijzondere persoonsgegevens” die alleen onder strikte voorwaarden verwerkt mogen worden. Een betaling aan een vakbond, zorgverlener, apotheek, politieke partij of organisatie die seksuele voorkeur onthult, moet volgens Privacy First (en ook de AVG) gezien worden als bijzonder (gevoelig) persoonsgegeven. Op dit moment bestaat geen mogelijkheid deze gegevens te filteren en worden ze verstrekt aan partijen die deze gegevens niet mogen verwerken.
- Eerlijke informatie: consumenten worden onvoldoende goed en eerlijk voorgelicht. Een kwalijke zaak, zeker omdat aan hun uitdrukkelijke toestemming veel waarde wordt gehecht. Maar hoeveel waarde heeft toestemming als een consument consequenties onvoldoende kan inschatten? Het PSD2-me-niet-register project moet tevens een bruikbare website opleveren, waarin consumenten kunnen aangeven dat ze niet willen dat hun gegevens door derden worden verstrekt.
Er is méér nodig…
Doordat PSD2 een Europese richtlijn is, is er juridisch weinig ruimte om iets te veranderen aan de werking van PSD2. Daarom zoeken we naar praktische maatregelen die de risico’s verminderen. Het PSD2-me-niet-register zou allereerst op vrijwillige basis gebruikt kunnen worden. Maar er is meer nodig. Of het nu in de PSD3, of tijdens de evaluatie tot stand komt: in de PSD2 moet privacy beter gewaarborgd worden. De ambitie is om het PSD2-me-niet-register op vrijwillige basis, maar liever nog via wetgeving, op Europees niveau in te bedden.
Neem deel aan het PSD2 Privacy Panel
Om te inventariseren wat de wensen van consumenten zijn, heeft Privacy First in februari 2019 een breed en representatief PSD2 Privacy Panel gelanceerd. Uit de eerste resultaten van het PSD2 Privacy Panel is een groot maatschappelijk draagvlak voor de initiatieven van Privacy First rond PSD2 gebleken, evenals een urgente maatschappelijke behoefte aan een PSD2-me-niet-register. Deelnemen aan het PSD2 Privacy Panel? Klik dan hier! (het Privacy Panel is inmiddels gesloten)
Mogelijk gemaakt voor donateurs, SIDN fonds en vrijwilligers
Een ambitieus project als het PSD2-me-niet-register vraagt de nodige middelen. Donateurs en vrijwilligers maken Privacy First mogelijk. Een hele belangrijke bijdrage komt van het SIDN Fonds.