Onder de PSD2 wetgeving kunnen consumenten gegevens niet filteren of beperken. Ook niet als zij dat willen, of een dienstverlener vooraf aangeeft niet alle gegevens nodig te hebben. Maar ook als je geen toestemming tot delen geeft, kunnen je gegevens ‘weglekken’ als een andere persoon wél toestemming heeft. Met het PSD2-me-niet-register kunnen betalingsgegevens van organisaties en consumenten uit de data gefilterd worden. Hiervoor hebben we een API ontwikkeld.
Waarom is het PSD2-me-niet-register nodig?
Het PSD2-me-niet-register is een opt-out register voor betalingsgegevens. Het is niet het eerste opt-out register voor de publieke ruimte. Het PSD2-me-niet-register biedt een instrument waarmee PSD2 dienstverleners de ontvangen betalingsgegevens kunnen filteren. Je kunt het vergelijken met met bel-me-niet-register. Daar kan je je telefoonnummer inschrijven en mogen bedrijven je niet meer telefonisch benaderen met ongevraagde marketing. Het biedt extra bescherming doordat je regie hebt op de hoeveelheid gegevens die worden gedeeld. Het PSD2-me-niet-register moet meer zekerheid bieden.
Rekeningnummers waarmee betalingen van of naar personen worden gedaan zijn persoonsgegevens. Het PSD2-me-niet-register biedt een instrument waarmee aanbieders aan wettelijke eisen kunnen voldoen en consumenten krijgen betere privacybescherming. We richten ons op twee soorten rekeningnummers
Conceptueel model: zo werkt het filter
Met het conceptuele model geven we een schematisch weergave van het PSD2-me-niet register. Onderstaande figuur geeft het model weer. Kort gezegd is het PSD2-me-niet-register een lijst rekeningnummers, waarmee gefilterd moet kunnen worden. Deze elementen worden verder uitgewerkt.
a) Kern van het register
Het PSD2-me-niet-register is een opt-out register dat ervoor moet zorgen dat bancaire gegevens niet ongewenst aan derden worden verstrekt en verwerkt. Banken bieden geen mogelijkheid om slechts een deel van de gegevens te delen, of delen in het geheel onmogelijk te maken. De vraag is of dit terecht is.
Het rekeningnummer speelt een centrale rol bij het register. Dit is het unieke nummer waarmee transacties van of naar een partij gevonden kunnen worden. Om te kunnen filteren zijn rekeningnummers nodig.
De eerste opzet van het register gaat uit van rekeningnummers van Bijzonder Rekeninghouders. Dit zijn rekeningnummers van partijen, waarbij uit de transactie bijzondere persoonsgegevens afgeleid kunnen worden. Wie deze partijen zijn is af te leiden uit gegevens die bij de Kamer van Koophandel en CBS bekend zijn. Een bevraging van het handelsregister van het KVK leverde 2400 rechtspersonen op waarvan de rekeningnummers in het register opgenomen zouden moeten worden. Hier zouden nog rekeningnummers uit de zorg en het CJIB aan toegevoegd moeten worden.
b) Ontsluiting
De kern van een filter is dat bepaalde transacties anders behandeld moeten kunnen worden dan anderen. In plaats van de dataset als één geheel te behandelen kunnen bijvoorbeeld privacy by design strategieën toegepast worden. Om dit mogelijk te maken moet de informatie ontsloten worden. Grofweg zijn drie opties mogelijk.
- de lijst rekeningnummers wordt gepubliceerd, bijvoorbeeld als csv bestand of als platte tekst en is voor iedereen te downloaden. Deze lijst kan door PSD2 dienstverleners als referentielijst gebruikt worden voor de eigen systemen.
- de lijst rekeningnummers wordt gevat in een schil met enige intelligentie. De lijst is technisch zo opgezet dat een automatische koppeling met systemen van de PSD2 aanbieders mogelijk is. Het is mogelijk om de lijst als ‘mirror’ in de eigen organisatie over te nemen waarbij de lijsten gesynchroniseerd worden.
- De lijst is opgenomen in een oplossing die zelfstandig filtering kan toepassen. Hierdoor kan het filteren op verschillende plekken worden ingezet zoals bij aanbieders intern, of direct nadat de data een bank verlaten heeft en dus vóór het bij een derde aanbieder binnenkomt.
c) Voorkeuren aangeven
Wanneer het model nog verder wordt uitgewerkt wordt persoonlijk databeheer mogelijk. Een persoon geeft aan welke informatie hij deelt. Bijvoorbeeld het interval van transacties, welk type (bijvoorbeeld alleen acceptgiro’s), inkomende of uitgaande transacties en of bepaalde gegevens gefilterd moeten worden.
Filteren met het PSD2-me-niet-register
Uit betaalgegevens kunnen bijzondere persoonsgegevens afgeleid worden. We willen dat deze gegevens gefilterd kunnen worden. Hierom hebben we het PSD2-me-niet register op gezet. Dit is een overzicht met rekeningnummers, waarbij transacties van of naar dit rekeningnummer een bijzonder persoonsgegeven onthullen.
Van organisaties waarvan transacties zonder twijfel als bijzonder persoonsgegeven aangemerkt moet worden hebben we een lijst gemaakt. De lijst is hier te downloaden. Het zal je misschien opvallen, de lijst bevat geen rekeningnummers. Dit doen we om misbruik van de lijst te voorkomen. De lijst wordt op beveiligde wijze ontsloten via onze API.
We blijven op zoek naar rekeningnummers. Welke rekeningnummers zoeken we? Het gaat bijvoorbeeld om contributierekeningen en rekeningnummers om als particulier naar te doneren, van deze categorieën organisaties:
- politieke partijen
- vakverenigingen en vakbonden
- verenigingen die actief zijn rondom seksueel gedrag of seksuele gerichtheid
- religieuze instellingen
Ken je het rekeningnummer van een relevante organisatie? Check eerst of we het nummer al hebben op deze lijst. Stuur het IBAN en BIC nummer in een mail met het rekeningnummer en naam van de organisatie naar martijn@privacyfirst.nl. Het rekeningnummer wordt dan opgenomen in de volgende versie van het register.
Verantwoording lijst rekeningnummers
- Alle rekening nummers komen uit publieke toegankelijke bestanden of websites.
- De politieke partijen zijn overgenomen van het register op de site van de Kiesraad. De officiële naam en eventuele afkorting zijn opgenomen. In dit register staan alleen partijen die geregistreerd staan, partijen in oprichting of inmiddels ontbonden staan hier niet in vermeld. Zie voor een overzicht van deze organisaties deze wikipedia pagina over Politieke partijen in Nederland.
- De vakbonden zijn overgenomen van wikipedia Lijst van vakbonden in Nederland op 30 maart 2020 en is mogelijk niet actueel.
- De religieuze instellingen zijn overgenomen uit een bestand dat in het kader van dit project uit het Handelsregister van de Kamer van Koophandel is verkregen en is mogelijk niet compleet.
- De rekeningnummers zijn afkomstig van openbaar toegankelijke bronnen of zijn aangeleverd door vrijwilligers of personen uit de achterban. Vragen? Neem dan contact op via martijn@privacyfirst.nl.
PSD2-me-niet filter: API
Zie voor informatie over het PSD2-me-niet-filter en de bijbehorende API dit artikel.