Zodra een consument toestemming geeft om betalingsgegevens met een derde partij te delen, zijn banken verplicht de betalingsgegevens te delen. In de PSD2 is dit vastgelegd in artikel 67.
Het gaat om Artikel 67, “Regels voor de toegang tot en het gebruik van informatie over betaalrekeningen in het geval van rekeninginformatiediensten”. Lid 1 van dit artikel zegt:
- De lidstaten zorgen ervoor dat een betalingsdienstgebruiker het recht heeft gebruik te maken van diensten die hem toegang bieden tot rekeninginformatie als bedoeld in bijlage I, punt 8. Dit recht is niet toepasselijk wanneer de betaalrekening niet online raadpleegbaar is.
Hier staat dat rekeninghouder het recht heeft om rekeninginformatiediensten te gebruiken. Om die diensten te kunnen gebruiken zal een bank de rekeninghouder niets in de weg mogen leggen om die diensten te gebruiken en zal hiervoor de transactiegegevens moeten delen.
Dit recht gaat alleen om online toegankelijke informatie. De informatie die je in je online bankieren kunt zien en downloaden, zal met de rekeninginformatiedienstverlener gedeeld worden. Een voorbeeld: de ABN AMRO biedt bij het online bankieren inzage in 18 maanden, en daarna kan je de transacties als PDF downloaden. Voor diensten worden dan alleen de transacties van 18 maanden gebruikt.
2. De rekeninginformatiedienstaanbieder:
a) verricht de diensten alleen met de uitdrukkelijke instemming van de betalingsdienstgebruiker;
Hier wordt de term de uitdrukkelijke instemming gebruikt, in artikel 94 lid 2 wordt de term uitdrukkelijke toestemming gebruikt.
b) zorgt ervoor dat de persoonlijke beveiligingsgegevens van de betalingsdienstgebruiker niet toegankelijk zijn voor andere partijen, met uitzondering van de gebruiker en de uitgever van de persoonlijke beveiligingsgegevens, en dat, indien zij worden verzonden door de rekeninginformatiedienstaanbieder, dit via veilige en efficiënte kanalen geschiedt;
c) identificeert zich bij elke communicatiesessie bij de rekeninghoudende betalingsdienstaanbieder(s) van de betalingsdienstgebruiker en communiceert op een veilige manier met de rekeninghoudende betalingsdienstaanbieder(s) en de betalingsdienstgebruiker, overeenkomstig artikel 98, lid 1, onder d);
d) heeft alleen toegang tot de informatie van de aangewezen betaalrekeningen en de betrokken betalingstransacties;
e) vraagt geen gevoelige betalingsgegevens met betrekking tot de betaalrekeningen op;
Gevoelige betalingsgegevens (eng: sensitive payment data) zijn iets anders dan ‘bijzondere persoonsgegevens’ van artikel 9 AVG. Je kan snel op het verkeerde been gezet worden door de begrippen. De definitie in art. 4 sub 32: “gegevens waarmee fraude kan worden gepleegd, waaronder persoonlijke beveiligingsgegevens. Voor de activiteiten van betalingsinitiatiedienstaanbieders en rekeninginformatiedienstaanbieders vormen de naam van de rekeninghouder en het rekeningnummer geen gevoelige betalingsgegevens”.
Let op, hier ontstaan risico’s…
(art. 67 lid 1 sub f PSD2)
f) gaat niet over tot het gebruiken, zich toegang verschaffen tot of opslaan van gegevens voor andere doelstellingen dan het uitvoeren van de door de betalingsdienstgebruiker uitdrukkelijk gevraagde rekeninginformatiedienst, overeenkomstig de voorschriften inzake gegevensbescherming.
In dit lid staat dat de rekeninginformatiedienstaanbieder zich strikt houdt aan de doelbinding: alleen de “door de betalingsdienstgebruiker uitdrukkelijk gevraagde rekeninginformatiedienst”. Dit lijkt een sterke waarborg omdat het de mogelijkheden (doelbinding) van de PSD2 dienstverlener beschrijft. Toch ontstaan hier risico’s:
- De mate waarin persoonsgegevens verwerkt worden, is deels afhankelijk van de dienst die wordt aangeboden. Dit bepaalt de aanbieder. Een aanbieder kan de diensten ruim beschrijven, in de voorwaarden al mogelijkheden van aanvullende diensten opnemen.
- De AVG maakt het verder verwerken van persoonsgegevens mogelijk (art. 5 lid 1 sub b AVG). Dat mag niet zomaar. Een verdere verwerking mag niet met de doelen onverenigbaar zijn. Waar de grens ligt is vaak moeilijk te bepalen. Wanneer een aanbieder de gegevens verder wil verwerken, dan zal daar een grondslag voor nodig zijn, zoals toestemming of een aanvullend contract. Het kan het ertoe leiden dat de bescherming van de PSD2 wordt losgelaten en alleen nog de AVG bescherming biedt.
3. In verband met betaalrekeningen heeft de rekeninghoudende betalingsdienstaanbieder de volgende verplichtingen:
a) hij communiceert op een veilige manier met rekeninginformatiedienstaanbieders overeenkomstig artikel 98, lid 1, onder d), en
b) hij behandelt door de diensten van een rekeninginformatiedienstaanbieder verzonden verzoeken om gegevens niet anders, tenzij om objectieve redenen.
Hier staat met zoveel woorden dat de bank (rekeninghoudende betalingsdienstaanbieder) niets met de gegevens dient en anders behandelt dan zijn eigen diensten. Vergelijk dit met netneutraliteit. Banken lezen hierin dat ze niet zelfstandig gegevens mogen filteren.
4. Het aanbieden van rekeninginformatiediensten mag niet afhangen van het bestaan van een contractuele relatie tussen de rekeninginformatiedienstaanbieders en de rekeninghoudende betalingsdienstaanbieders voor dat doeleinde.