achtergrond

Het PSD2-me-niet-register

Onder de PSD2 wetgeving kunnen consumenten gegevens niet filteren of beperken. Ook niet als zij dat willen, of een dienstverlener vooraf aangeeft niet alle gegevens nodig te hebben. Maar ook als je geen toestemming tot delen geeft, kunnen je gegevens ‘weglekken’ als een andere persoon wél toestemming heeft. Met het PSD2-me-niet-register kunnen betalingsgegevens van organisaties en consumenten uit de data gefilterd worden.

Waarom is het PSD2-me-niet-register nodig?

Het PSD2-me-niet-register is een opt-out register voor betalingsgegevens. Het is niet het eerste opt-out register voor de publieke ruimte. Het PSD2-me-niet-register biedt een instrument waarmee PSD2 dienstverleners de ontvangen betalingsgegevens kunnen filteren. Je kunt het vergelijken met met bel-me-niet-register. Daar kan je je telefoonnummer inschrijven en mogen bedrijven je niet meer telefonisch benaderen met ongevraagde marketing. Het biedt extra bescherming doordat je regie hebt op de hoeveelheid gegevens die worden gedeeld. Het PSD2-me-niet-register moet meer zekerheid bieden.

Rekeningnummers waarmee betalingen van of naar personen worden gedaan zijn persoonsgegevens. Het PSD2-me-niet-register biedt een instrument waarmee aanbieders aan wettelijke eisen kunnen voldoen en consumenten krijgen betere privacybescherming. We richten ons op twee soorten rekeningnummers

Conceptueel model

Met het conceptuele model geven we een schematisch weergave van het PSD2-me-niet register. Onderstaande figuur geeft het model weer. Kort gezegd is het PSD2-me-niet-register een lijst rekeningnummers, waarmee gefilterd moet kunnen worden. Deze elementen worden verder uitgewerkt.

1. Kern van het register

Het PSD2-me-niet-register is een opt-out register dat ervoor moet zorgen dat bancaire gegevens niet ongewenst aan derden worden verstrekt en verwerkt. Banken bieden geen mogelijkheid om slechts een deel van de gegevens te delen, of delen in het geheel onmogelijk te maken. De vraag is of dit terecht is.

Het rekeningnummer speelt een centrale rol bij het register. Dit is het unieke nummer waarmee transacties van of naar een partij gevonden kunnen worden. Om te kunnen filteren zijn rekeningnummers nodig.

De eerste opzet van het register gaat uit van rekeningnummers van Bijzonder Rekeninghouders. Dit zijn rekeningnummers van partijen, waarbij uit de transactie bijzondere persoonsgegevens afgeleid kunnen worden. Wie deze partijen zijn is af te leiden uit gegevens die bij de Kamer van Koophandel en CBS bekend zijn. Een bevraging van het handelsregister van het KVK leverde 2400 rechtspersonen op waarvan de rekeningnummers in het register opgenomen zouden moeten worden. Hier zouden nog rekeningnummers uit de zorg en het CJIB aan toegevoegd moeten worden.

2. Ontsluiting

De kern van een filter is dat bepaalde transacties anders behandeld moeten kunnen worden dan anderen. In plaats van de dataset als één geheel te behandelen kunnen bijvoorbeeld privacy by design strategieën toegepast worden. Om dit mogelijk te maken moet de informatie ontsloten worden. Grofweg zijn drie opties mogelijk.

  1. de lijst rekeningnummers wordt gepubliceerd, bijvoorbeeld als csv bestand of als platte tekst en is voor iedereen te downloaden. Deze lijst kan door PSD2 dienstverleners als referentielijst gebruikt worden voor de eigen systemen.
  2. de lijst rekeningnummers wordt gevat in een schil met enige intelligentie. De lijst is technisch zo opgezet dat een automatische koppeling met systemen van de PSD2 aanbieders mogelijk is. Het is mogelijk om de lijst als ‘mirror’ in de eigen organisatie over te nemen waarbij de lijsten gesynchroniseerd worden.
  3. De lijst is opgenomen in een oplossing die zelfstandig filtering kan toepassen. Hierdoor kan het filteren op verschillende plekken worden ingezet zoals bij aanbieders intern, of direct nadat de data een bank verlaten heeft en dus vóór het bij een derde aanbieder binnenkomt.

3. Voorkeuren aangeven

Wanneer het model nog verder wordt uitgewerkt wordt persoonlijk databeheer mogelijk. Een persoon geeft aan welke informatie hij deelt. Bijvoorbeeld het interval van transacties, welk type (bijvoorbeeld alleen acceptgiro’s), inkomende of uitgaande transacties en of bepaalde gegevens gefilterd moeten worden.


Dit artikel wordt voortdurend uitgebreid. Heb je suggesties of aanvullingen? Laat het weten via martijn@privacyfirst.nl.