achtergrond

Het PSD2-me-niet-register

Het PSD2-me-niet-register is een initiatief van Privacy First om risico’s voor privacy, die ontstaan door de PSD2, te verminderen. Onder de PSD2 wetgeving kunnen consumenten gegevens niet filteren of beperken. Maar ook als je geen toestemming tot delen geeft, kunnen je gegevens ‘weglekken’ als een andere persoon wél toestemming heeft. Met het PSD2-me-niet-register kunnen betalingsgegevens van organisaties en consumenten uit de data gefilterd worden. Hierdoor kan voorkomen worden dat iemands betalingsgegevens ongewenst aan derden worden verstrekt en verwerkt. Het PSD2-me-niet-register helpt belangrijke privacyrisico’s te verminderen.

Dit hoofdartikel werkt het PSD2-me-niet-register nader uit en is voortdurend in ontwikkeling.

Waarom is het PSD2-me-niet-register nodig?

Het PSD2-me-niet-register is een opt-out register voor betalingsgegevens. Het is niet het eerste opt-out register voor de publieke ruimte. Het PSD2-me-niet-register biedt een instrument waarmee PSD2 dienstverleners de ontvangen betalingsgegevens kunnen filteren. Je kunt het vergelijken met met bel-me-niet-register. Daar kan je je telefoonnummer inschrijven en mogen bedrijven je niet meer telefonisch benaderen met ongevraagde marketing. Het biedt extra bescherming doordat je regie hebt op de hoeveelheid gegevens die worden gedeeld. Het PSD2-me-niet-register moet meer zekerheid bieden.

Rekeningnummers waarmee betalingen van of naar personen worden gedaan zijn persoonsgegevens. Aanbieders van PSD2 diensten zullen aan privacywetten, voornamelijk de Algemene verordening gegevensbescherming (AVG, Engels: GDPR), moeten voldoen. Het PSD2-me-niet-register biedt een instrument waarmee aanbieders aan wettelijke eisen kunnen voldoen en consumenten krijgen betere privacybescherming. In het kort:

Bijzondere rekeningnummers: Bijzondere persoonsgegevens vragen om bijzondere bescherming en mogen niet verwerkt worden, tenzij… Het belang van de bescherming van bijzondere persoonsgegevens is zo groot, dat we ervoor pleiten om rekeningnummers waar bijzondere persoonsgegevens uit af te leiden zijn, verplicht in het PSD2-me-niet-register op te nemen zodat zij standaard gefilterd worden. Wel moet het mogelijk voor een consument zijn om deze privacy by default te wijzigen.

Rekeningnummers van consumenten: Wanneer een consument géén toestemming geeft om zijn gegevens te delen, gebeurt dit ook niet. Maar als een andere persoon, waar je wel eens geld van krijgt of aan overmaakt, wél toestemming geeft, deelt deze ook een beetje gegevens over jou. Dit wordt de ‘silent third party’ genoemd. Het PSD2-me-niet-register moet consumenten de mogelijkheid geven hun rekeningnummer op te nemen in het register zodat zij kunnen voorkomen dat hun rekeningnummers als silent third party alsnog gedeeld worden.
Welke gegevens worden in het PSD2-me-niet-register opgenomen?

Het register moet gegevens bevatten waarmee een dienstverlener de gegevens kan filteren. Waarschijnlijk kan dit beperkt blijven tot het rekeningnummer en zijn aanvullende gegevens niet nodig. Dit wordt nog nader uitgewerkt.