De European Data Protection Board (EDPB) gaf de gelegenheid om feedback te geven op hun concept guidelines over de verhouding tussen de PSD2-richtlijn en de Algemene verordening gegevensbescherming (AVG). Daar hebben we natuurlijk gebruik van gemaakt. Hoe beter de richtlijnen, hoe beter gegevens beschermd zullen worden door aanbieders van PSD2 diensten.
Het doel van de guidelines is aanbieders van betaaldiensten meer duidelijkheid te geven over de wijze waarop zij persoonsgegevens kunnen verwerken. De guidelines besteden onder meer aandacht aan toestemming, dataminimalisatie, beveiliging en transparantie. Ook heeft de EDPB ruime aandacht aan ‘bijzondere categorieën persoonsgegevens.’
39 partijen gaven commentaar…
In totaal gaven 39 partijen hun commentaar op de richtsnoeren. Uit de commentaren blijkt meteen hoe lastig de PSD2 is opgezet. Regelmatig worden appels met peren vergeleken. Dat bepaalde concept niet helder zijn is reden tot zorg. We hopen dan ook dat de EDPB snel komt met betere richtsnoeren.
… en zitten elkaar soms in de weg
Wij richten ons op de rekeninginformatiedienstverleners (AISP). Dat is een aanbieder van een dienst waarmee je je bankgegevens in een ‘geconsolideerde weergave’ kan terugzien. Bijvoorbeeld een totaaloverzicht van drie banken in één overzicht. Dat is heel wat anders dan een dienst die zich bezig houdt met betalingen, de betalingsinitiatiediensten (PISP’s). Helaas lopen regels voor PISP’s en AISP’s ook in de guidelines door elkaar. Daardoor blijft de complexe materie nogal… complex.
Een van de lastige dingen van de PSD2 is dat verschillende betalingsdiensten in één richtlijn zitten. Hierdoor kunnen maatregelen die goed zijn om privacy in het ene geval te beschermen, nodeloos zijn voor het andere geval. Een voorbeeld daarvan zijn transacties van bijzondere persoonsgegevens, zoals een donatie of lidmaatschapsgeld van een vakbond of politieke partij. Dat gegevens nodig zijn voor een betaling verzorgd door een PISP is nogal wiedes. Maar in hun reacties geven PISP’s aan dat de EDBP het ze veel te moeilijk maakt: weg met die regels! Voor ons gaan de regels juist niet ver genoeg, omdat we risico’s zien bij verwerkingen door AISP’s. Het wordt oppassen dat het kind niet met het badwater wordt weggegooid.
Momenten waarop risico’s ontstaan onvoldoende beschermd
Bij rekeninginformatiediensten kunnen op twee momenten risico’s voor privacy ontstaan. De eerste is zodra een AISP ándere partijen inschakelt om de gegevens te verwerken. Bijvoorbeeld wanneer de AISP een derde partij inschakelt om de gegevens te categoriseren. Het tweede moment waar risico’s ontstaan is wanneer een AISP aanvullende diensten aanbiedt. Denk aan aanbiedingen op basis van je betaalgedrag, maar ook budgetbeheer of koppelingen met andere bestanden.
Als bij deze verwerkingen kredietscoorders of risico beoordelaars worden ingeschakeld, is de kans groot dat jouw gegevens op de een of andere manier toegevoegd worden aan je profiel. Privacy First is niet voor niets een van de partijen die hierover een rechtszaak voert!
Een van de manieren om te voorkomen dat je gegevens, bij het gebruik van een rekeninginformatiedienst verkeerd worden verwerkt, is ze te filteren. Dat kan met het PSD2-me-niet filter. Maar filteren is voor PISP’s als vloeken in de kerk. er is dus nog veel werk te verzetten. We blijven onze oplossingen onder de aandacht brengen, en hebben nu 38 partijen gevonden die we hiervoor zullen benaderen.