achtergrond

Het PSD2-me-niet-register

Het PSD2-me-niet-register is een opt-out register voor betalingsgegevens. Het moet voorkomen dat iemands betalingsgegevens ongewenst aan derden worden verstrekt en verwerkt. Het register bevat rekeningnummers van organisaties en consumenten die door aanbieders gefilterd moeten worden.

Waarom is het PSD2-me-niet-register nodig?

Het PSD2-me-niet-register zetten we op omdat de wetgeving te weinig privacybescherming biedt. De belangrijkste reden is dat onder de PSD2 wetgeving het filteren van gegevens niet mogelijk is. Banken zijn verplicht om alle gegevens over te dragen aan een PSD2 dienstverlener zodra een consument daar om vraagt. Zelfs als vooraf duidelijk is dat niet alle gegevens nodig zijn of als een consument niet alles wil delen. Hierdoor onthul je mogelijk meer van jezelf dan je zou willen.

Wat een aanbieder vervolgens met de gegevens doet is maar de vraag. Veel aanbieders zullen zorgvuldig met de gegevens omgaan. Maar als consument heb je hier geen zekerheid over. Het PSD2-me-niet-register moet meer zekerheid bieden.

Het PSD2-me-niet-register biedt een instrument waarmee PSD2 dienstverleners de ontvangen betalingsgegevens kunnen filteren. Je kunt het vergelijken met met bel-me-niet-register. Daar kan je je telefoonnummer inschrijven en mogen bedrijven je niet meer telefonisch benaderen met ongevraagde marketing.

Betere privacybescherming

Rekeningnummers waarmee betalingen van of naar personen worden gedaan zijn persoonsgegevens. Aanbieders van PSD2 diensten zullen aan privacywetten, voornamelijk de Algemene verordening gegevensbescherming (AVG, Engels: GDPR), moeten voldoen. Het PSD2-me-niet-register biedt een instrument waarmee aanbieders aan wettelijke eisen kunnen voldoen en consumenten krijgen betere privacybescherming. In het kort:

Bijzondere rekeningnummers: Bijzondere persoonsgegevens vragen om bijzondere bescherming en mogen niet verwerkt worden, tenzij… Het belang van de bescherming van bijzondere persoonsgegevens is zo groot, dat we ervoor pleiten om rekeningnummers waar bijzondere persoonsgegevens uit af te leiden zijn, verplicht in het PSD2-me-niet-register op te nemen zodat zij standaard gefilterd worden. Wel moet het mogelijk voor een consument zijn om deze privacy by default te wijzigen.

Rekeningnummers van consumenten: Wanneer een consument géén toestemming geeft om zijn gegevens te delen, gebeurt dit ook niet. Maar als een andere persoon, waar je wel eens geld van krijgt of aan overmaakt, wél toestemming geeft, deelt deze ook een beetje gegevens over jou. Dit wordt de ‘silent third party’ genoemd. Het PSD2-me-niet-register moet consumenten de mogelijkheid geven hun rekeningnummer op te nemen in het register zodat zij kunnen voorkomen dat hun rekeningnummers als silent third party alsnog gedeeld worden.

Welke gegevens worden in het PSD2-me-niet-register opgenomen?

Het register moet gegevens bevatten waarmee een dienstverlener de gegevens kan filteren. Waarschijnlijk kan dit beperkt blijven tot het rekeningnummer en zijn aanvullende gegevens niet nodig. Dit wordt nog nader uitgewerkt.