{"id":279,"date":"2019-09-13T12:14:58","date_gmt":"2019-09-13T11:14:58","guid":{"rendered":"https:\/\/psd2meniet.nl\/?p=279"},"modified":"2021-07-19T12:47:38","modified_gmt":"2021-07-19T11:47:38","slug":"psd2-en-privacy","status":"publish","type":"post","link":"https:\/\/psd2meniet.nl\/en\/psd2-en-privacy\/","title":{"rendered":"PSD2 and privacy in practice"},"content":{"rendered":"<p>On paper, the PSD2 seems to have good safeguards when it comes to the protection of personal data. Not only is reference made to the General Data Protection Regulation (AVG), but a consumer must also give his explicit consent before data is processed by a payment service provider. In this article we describe how the PSD2 deals with privacy.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">PSD2 through the eyes of 'Alice' and 'Bob'<\/h3>\n\n\n\n<p>To better follow the tough PSD2 we illustrate the PSD2 with some people, Alice and Bob. They regularly transfer money to each other. Alice has an account with several banks and would like to make use of a <a class=\"info-marker\" data-info=\"Er is geen prettige afkorting beschikbaar. Vaak wordt de Engelse afkorting 'AISP' gebruikt. Een rekeninginformatiedienst is <em>een onlinedienst voor het verstrekken van geconsolideerde informatie over een of meer betaalrekeningen die de betalingsdienstgebruiker bij een andere betalingsdienstaanbieder of bij meer dan \u00e9\u00e9n betalingsdienstaanbieder aanhoudt.<\/em> (Artikel 4 sub 16 PSD2).<\/p><p>De PSD2 maakt ook de betaalinitiatiedienst mogelijk waarbij een andere partij dan je bank een betaling mag afhandelen.\"> account information service.<span class=\"icon\"><\/span><\/a> It's about the 'Eve' service, from which she saw an ad.  Bob deliberately chooses not to use an account information service.<\/p>\n\n\n\n<p>Because the PSD2 account information can be used more widely, services such as the <a class=\"info-marker\" data-info=\"Het huishoudboekje wordt vaak als eerst genoemd, ook in overweging 28 van de PSD2. We zochten via Startpage op 'voordelen van PSD2' en bij consumentenorganisaties Thuiswinkel en de Consumentenbond, de banken ING , Triodos , de Rabobank werd het huishoudboekje als eerste genoemd.\">online checkbook, <span class=\"icon\"><\/span><\/a> budget management, overview of several accounts or advice on financial services. Sometimes before the PSD2 was also possible, but then you had to download the data from your bank and then upload it. PSD2 makes this process a lot easier.<\/p>\n\n\n\n<p>Alice downloads the app 'Eve' and agrees to the terms and conditions. At this moment she is a customer of Eve, but Eve is not yet able to process payment details. For this Alice will <a class=\"info-marker\" data-info=\"Zowel de PSD2 als de AVG noemen consent, toestemming. De ene toestemming  is de andere niet. Toestemming is onder de AVG een van de zes  grondslagen voor het verwerken van persoonsgegevens. De uitdrukkelijke  toestemming van de PSD2 moet volgens de Europese Data Protection Board  gezien worden als 'contractual consent' en niet als de toestemming zoals  bedoeld in de  AVG (6.1.a). Het is aanvullend op de contractuele  relatie tussen de  persoon en de betalingsdienstaanbieder, de primaire  grondslag voor de verwerking van persoonsgegevens is de overeenkomst  (art. 6 lid 1 sub b AVG).\">explicit approval<span class=\"icon\"><\/span><\/a> have to give. <\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Data from Alice' bank to AISP<\/h3>\n\n\n\n<p>Alice gives Eve permission to retrieve her payment details. She has to confirm this permission at her bank. With Alice' permission, Eve asks Alice's bank for the payment details. The bank is <a class=\"info-marker\" data-info=\" De bank moet dit doen op grond van artikel 67 PSD2: '<em>de betalingsdienstgebruiker heeft het recht heeft gebruik te maken van diensten die hem toegang bieden tot rekeninginformatie<\/em>' en de bank mag dit niet hinderen. De verwerking van de persoonsgegevens vindt plaats op grond van art. 6 lid 1 sub c AVG, de wettelijke verplichting die een bank is opgelegd.\">mandatory <span class=\"icon\"><\/span><\/a> then provide all the information requested. Eve receives the data and updates and uses the data for its services.<\/p>\n\n\n\n<p>Alice will be after <a class=\"info-marker\" data-info=\"De termijn van 90 dagen heeft te maken met de 'sterke cli\u00ebntauthenticatie'. In artikel 10 van de Regulatory Technical Standards, technische standaarden die de PSD2 richtlijn verder uitwerken, is deze termijn genoemd. Kort gezegd biedt 'sterke cli\u00ebntauthenticatie' de zekerheid dat de juiste persoon inlogt. Een reden voor deze 'sterke cli\u00ebntauthenticatie' is dat transacties voor elektronisch betalen op afstand fraudegevoeliger zijn. Hoe je dit doet is aan de aanbieders zelf. In Nederland zijn we gewend in te loggen met bankpas en een code van een reader, maar ook andere manieren zijn mogelijk. https:\/\/eur-lex.europa.eu\/legal-content\/EN\/TXT\/?uri=CELEX:32018R0389 \">90 days<span class=\"icon\"><\/span><\/a>  have to renew her consent. In the meantime, Eve has access to the payment details of Alice as far as Alice can see in her online environment. This can be done <a href=\"https:\/\/www.consumentenbond.nl\/betaalrekening\/internetbankieren\" target=\"_blank\" rel=\"noreferrer noopener\" aria-label=\" (opens in a new tab)\">differ from one bank to another<\/a>. At the bank of Alice this can be up to 8 years. After 90 days, access is automatically terminated and Eve receives no more mutations. The data received by Eve may no longer be used for the purposes for which they were collected.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Data from Alice are processed by AISP<\/h3>\n\n\n\n<p>Alice's data is now at the AISP. The AISP is not allowed to do anything other than as agreed in the contract. The PSD2 emphatically repeats some <a class=\"info-marker\" data-info=\"De wet kent wetsartikelen en overwegingen. Overweging 89 zegt: <\/p><p><em>Het aanbieden van betalingsdiensten door de betalingsdienstaanbieders kan de verwerking van persoonsgegevens met zich mee brengen. (...) Met name is het noodzakelijk, wanneer voor de toepassing van deze richtlijn persoonsgegevens worden verwerkt, dat het precieze doel wordt aangegeven, dat de desbetreffende rechtsgrondslag wordt vermeld, dat de relevante beveiligingsvoorschriften van Richtlijn 95\/46\/EG (is nu de AVG) worden nageleefd, en dat de beginselen noodzaak, evenredigheid, doelbegrenzing en een niet-buitensporige gegevensbewaarperiode in acht worden genomen. <\/em><\/p><p><em>Ook moeten in alle gegevensverwerkingsystemen die in het kader van deze richtlijn worden ontwikkeld en gebruikt, de beginselen gegevensbescherming by design en gegevensbescherming by default in acht worden genomen.<\/em>\"> important privacy principles.<span class=\"icon\"><\/span><\/a> An important privacy principle is <a class=\"info-marker\" data-info=\"Dit is opgenomen in art. 5 lid 1 sub b: 'Persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt.'\">target retention,<span class=\"icon\"><\/span><\/a>  knowing what personal data are collected and processed for enables a person to agree or disagree with a processing, and to know what their rights (such as the right of access) are aimed at. The purpose limitation is through the definition of an account information service <a class=\"info-marker\" data-info=\"De doelbinding komt op meerdere plekken terug. Wat een rekeninginformatiedienst is (het doel waarvoor de persoonsgegevens worden verwerkt) is benoemd in in de definitie art. 4 sub 16 PSD2 en overweging 28 van de PSD2. <\/p><p>De nadruk op het vasthouden van de doelbinding komt terug in overweging 89, artikel 67 lid 2 sub f ('gaat niet over tot het gebruiken, zich toegang verschaffen tot of opslaan van gegevens voor andere doelstellingen dan het uitvoeren van de door de betalingsdienstgebruiker uitdrukkelijk gevraagde rekeninginformatiedienst, overeenkomstig de voorschriften inzake gegevensbescherming') en art. 94 lid 2 PSD2 ('Betalingsdienstaanbieders mogen alleen met de uitdrukkelijke toestemming van de betalingsdienstgebruiker toegang krijgen tot persoonsgegevens die noodzakelijk zijn voor het aanbieden van hun betalingsdiensten, deze verwerken en bewaren.)\">pretty well delineated.<span class=\"icon\"><\/span><\/a> Another principle is <a class=\"info-marker\" data-info=\"Dit is opgenomen in artikel 5 lid 1 sub c AVG. Een mooi voorbeeld van hoe dataminimalisatie werkt is de mogelijkheid die de PSD2 biedt om na te gaan of iemand voldoende geld beschikbaar heeft (art. 65 PSD2). Lid 3 van dit artikel zegt: In overeenstemming met Richtlijn 95\/46\/EG bestaat de in lid 1 bedoelde bevestiging uitsluitend uit een antwoord in de vorm van een eenvoudige '' ja' of 'nee', en niet uit een rekeningafschrift van het saldo. Dit antwoord wordt niet opgeslagen of voor andere doeleinden gebruikt dan voor de uitvoering van de op kaarten gebaseerde betalingstransactie.' Dat is duidelijke taal. \">data minimization.<span class=\"icon\"><\/span><\/a> This is limiting the amount of data to only that which is necessary to carry out a processing operation.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">#Adv \"Hey Alice, is this something for you?<\/h3>\n\n\n\n<p>Eve offers more services than just the <a class=\"info-marker\" data-info=\" 'Een rekeninginformatiedienst is een onlinedienst voor het verstrekken van geconsolideerde informatie over een of meer betaalrekeningen die de betalingsdienstgebruiker bij een andere betalingsdienstaanbieder of bij meer dan \u00e9\u00e9n betalingsdienstaanbieder aanhoudt.' Uit de diensten die AISP's bieden gaat het niet alleen om een (grafische) teruggave van informatie, maar ook categoriseren en benutten voor (risico)profielen. \">account information service.<span class=\"icon\"><\/span><\/a> Eve offers the possibility to receive offers based on the payment details, for example from energy suppliers. Alice wants to know more about this. It sounds fun, but who does her data go to? At Eve, the payment details of Alice are converted into a profile. This profile is offered to various energy suppliers. <\/p>\n\n\n\n<p>Alice sees that she can save on the costs of an energy supplier. She decides to switch from an energy supplier. A button in the Eve app takes her to the registration site of the energy supplier. She concludes a contract with the supplier. Isn't that nice? Bob hesitates. He read in Eve's terms and conditions that the company uses an external service provider that specialises in making profiles. Alice's data does not remain with Eve, but is also processed by Mallory Ltd. In the privacy statement he reads that Mallory Ltd. draws up risk profiles, partly from open sources and sources that are not public, for example <a class=\"info-marker\" data-info=\"Over deze organisaties schreef de Groene Amsterdammer in haar editie van 25 oktober 2017, nr. 43 over De schuldenindustrie 'U staat op een zwarte lijst'.\">Collection agencies and (trade) information agencies.<span class=\"icon\"><\/span><\/a>\n\n\n\n<h3 class=\"wp-block-heading\">Alice withdraws her consent<\/h3>\n\n\n\n<p>Alice isn't comfortable. She decides to quit Eve. You'll need your permission anytime and in an easy way <a class=\"info-marker\" data-info=\"Alleen met 'uitdrukkelijke toestemming' op grond van art. 94  lid 2 PSD2: 'Betalingsdienstaanbieders mogen alleen met de  uitdrukkelijke toestemming van de betalingsdienstgebruiker toegang  krijgen tot persoonsgegevens (...) mogen betalingsgegevens verwerkt worden. Ofwel, geen toestemming, geen toegang. <\/p><p>Toestemming met aan meerdere voorwaarden voldoen. E\u00e9n daarvan is dat toestemming 'te allen tijde' ingetrokken moeten kunnen worden. 'Het intrekken van de toestemming is even eenvoudig als het geven ervan.' (art. 7 lid 3 AVG)\">can withdraw<span class=\"icon\"><\/span><\/a> In de app klikt ze op de knop &#8217;toestemming intrekken&#8217;. De verbinding tussen de bank en Eve is nu verbroken. De betalingsgegevens van Alice staan nog bij Eve. En omdat Alice meerdere diensten via Eve heeft afgenomen staan haar gegevens ook bij die partners. Alice heeft het recht om de gegevens te laten wissen, <a class=\"info-marker\" data-info=\"Dit volgt uit artikel 17 AVG: de betrokkene heeft het recht om zonder onredelijke vertraging wissing van de hem betreffende persoonsgegevens te verkrijgen (...)' en de persoon binnen een maand op de hoogte stellen van wat hij heeft  gedaan (art. 12 lid 3 AVG).  \">the 'right to be forgotten'<span class=\"icon\"><\/span><\/a>. Alice will have to ask for this right, not only from Eve but from all the partners from whom she has obtained services. Exercising the 'rights of the person concerned' are often <a class=\"info-marker\" data-info=\"Soms is het mogelijk om je rechten vanuit je account uit te voeren. Dit zijn echter uitzonderingen. Vaker zal je een mail of brief moeten sturen en jezelf identificeren met een kopie van je paspoort.\">difficult to perform.<span class=\"icon\"><\/span><\/a> In addition, certain financial data must be kept for 7 years, during which time they will lead a dormant existence.  Anonymised data or data in models and profiles will also <a class=\"info-marker\" data-info=\"Het blijft altijd de vraag w\u00e9lke gegevens worden verwijderd. De direct en indirect herleidbare gegevens zijn eenvoudig te benoemen. Met het delen van je gegevens heb je databronnen verrijkt en zijn (statistische) modellen aangepast. Deze bijdrage aan het bedrijf wordt niet ongedaan gemaakt.\"> underperform<span class=\"icon\"><\/span><\/a>\n\n\n\n<h3 class=\"wp-block-heading\">Alice notes: withdrawing consent is not automatically deleting data<\/h3>\n\n\n\n<p>Alice soon finds out she has to ask for her data to be erased for every service she has taken through Eve. Only the transfer of payment data is deactivated. This will make her <a class=\"info-marker\" data-info=\"Zodra een klant een dienst de-activeert blijven de gegevens bij de aanbieder staan. Deze mag er niets meer mee doen. Je zou verwachten dat een aanbieder de gegevens direct verwijderd en daarmee art. 17 lid 1 sub a en b volgt (direct verwijderen nadat het doel van de verwerking wegvalt, of toestemming wordt ingetrokken).\">have to do with Eve, too.<span class=\"icon\"><\/span><\/a> Because Alice is still a customer of Eve and only the <em>services <\/em>ceases, Eve won't erase the data yet. This may also apply to other providers whose contracts are still ongoing. Chances are that Alice <a class=\"info-marker\" data-info=\"De moeite die het kost om verwerkingen te staken en data te wissen staat vaak niet in verhouding tot het gemak waarmee je een dienst aanvraagt of gegevens deelt. Een actieve houding van zowel de rekeninginformatiedienstverlener alsook partner-dienstverleners zou een eerste stap zijn.\">leave it at that.<span class=\"icon\"><\/span><\/a> <\/p>\n\n\n\n<p><span style=\"color: #216161;\" class=\"ugb-highlight\">This article is constantly being expanded. Do you have any suggestions or do you want to know how Bob is getting on? Let us know via <\/span><span style=\"color: #ffffff; background-color: #216161;\" class=\"ugb-highlight\">martijn@privacyfirst.nl<\/span><span style=\"color: #216161;\" class=\"ugb-highlight\">.<\/span><\/p>","protected":false},"excerpt":{"rendered":"<p>On paper, the PSD2 seems to have good safeguards when it comes to the protection of personal data. Not only is it ... <\/p>\n<div><a href=\"https:\/\/psd2meniet.nl\/en\/psd2-en-privacy\/\" class=\"more-link\">Read More<\/a><\/div>","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[],"featured_image_urls_v2":{"full":"","thumbnail":"","medium":"","medium_large":"","large":"","1536x1536":"","2048x2048":"","trp-custom-language-flag":"","post-thumbnail":"","entry":"","entry-cropped":"","entry-fullwidth":"","entry-cropped-fullwidth":""},"post_excerpt_stackable_v2":"<p>Op papier lijkt de PSD2 goede waarborgen te hebben als het gaat om de bescherming van persoonsgegevens. Niet alleen wordt verwezen naar de Algemene verordening gegevensbescherming (AVG) maar \u00f3\u00f3k moet een consument zijn uitdrukkelijke toestemming geven voordat gegevens door een betalingsdienstaanbieders verwerkt worden. In dit artikel beschrijven we hoe de PSD2 omgaat met privacy. PSD2 door de ogen van &#8216;Alice&#8217; en &#8216;Bob&#8217; Om de taaie PSD2 beter te volgen illustreren we de PSD2 aan de hand van enkele personen, Alice en Bob. Zij maken regelmatig geld naar elkaar over. Alice heeft bij meerdere banken een rekening en wil graag gebruik&hellip;<\/p>\n","category_list_v2":"<a href=\"https:\/\/psd2meniet.nl\/en\/category\/achtergrond\/\" rel=\"category tag\">achtergrond<\/a>","author_info_v2":{"name":"Martijn van der Veen","url":"https:\/\/psd2meniet.nl\/en\/author\/martijn\/"},"comments_num_v2":"0 comments","_links":{"self":[{"href":"https:\/\/psd2meniet.nl\/en\/wp-json\/wp\/v2\/posts\/279"}],"collection":[{"href":"https:\/\/psd2meniet.nl\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/psd2meniet.nl\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/psd2meniet.nl\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/psd2meniet.nl\/en\/wp-json\/wp\/v2\/comments?post=279"}],"version-history":[{"count":10,"href":"https:\/\/psd2meniet.nl\/en\/wp-json\/wp\/v2\/posts\/279\/revisions"}],"predecessor-version":[{"id":763,"href":"https:\/\/psd2meniet.nl\/en\/wp-json\/wp\/v2\/posts\/279\/revisions\/763"}],"wp:attachment":[{"href":"https:\/\/psd2meniet.nl\/en\/wp-json\/wp\/v2\/media?parent=279"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/psd2meniet.nl\/en\/wp-json\/wp\/v2\/categories?post=279"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/psd2meniet.nl\/en\/wp-json\/wp\/v2\/tags?post=279"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}