Op papier lijkt de PSD2 goede waarborgen te hebben als het gaat om de bescherming van persoonsgegevens. Niet alleen wordt verwezen naar de Algemene verordening gegevensbescherming (AVG) maar óók moet een consument zijn uitdrukkelijke toestemming geven voordat gegevens door een betalingsdienstaanbieders verwerkt worden. In dit artikel beschrijven we hoe de PSD2 omgaat met privacy.
PSD2 door de ogen van ‘Alice’ en ‘Bob’
Om de taaie PSD2 beter te volgen illustreren we de PSD2 aan de hand van enkele personen, Alice en Bob. Zij maken regelmatig geld naar elkaar over. Alice heeft bij meerdere banken een rekening en wil graag gebruik maken van een rekeninginformatiedienst. Het gaat om de dienst ‘Eve’, waar ze een advertentie van zag. Bob kiest er bewust voor om géén rekeninginformatiedienst te gebruiken.
Doordat door de PSD2 rekeninginformatie breder gebruik kan worden kunnen diensten ontstaan zoals het online huishoudboekje, budgetbeheer, overzicht over meerdere rekeningen of adviezen over financiële diensten. Soms was vóór de PSD2 ook mogelijk, maar dan moest je de gegevens downloaden bij je bank en vervolgens uploaden. PSD2 maakt dit proces een stuk makkelijker.
Alice downloadt de app ‘Eve’ en gaat akkoord met de voorwaarden. Op dit moment is ze klant bij Eve, maar kan Eve nog geen betalingsgegevens verwerken. Hiervoor zal Alice uitdrukkelijke toestemming moeten geven moeten geven.
Gegevens van Alice’ bank naar AISP
Alice geeft Eve toestemming om haar betalingsgegevens op te halen. Deze toestemming moet ze bij haar bank bevestigen. Met Alice’ toestemming vraagt Eve bij de bank van Alice om de betalingsgegevens. De bank is verplicht vervolgens alle gegevens die worden gevraagd te verstrekken. Eve ontvangt de gegevens en updates en gebruikt de gegevens voor de dienstverlening.
Alice zal na 90 dagen haar toestemming moeten verlengen. In deze tussentijd heeft Eve toegang tot de betalingsgegevens van Alice zo ver Alice in haar online omgeving terug kan zien. Dit kan per bank verschillen. Bij de bank van Alice kan dit tot 8 jaar. Na de 90 dagen wordt de toegang automatisch verbroken en ontvangt Eve geen mutaties meer. De gegevens die Eve heeft ontvangen mogen niet meer gebruikt worden voor de doelen waarvoor ze verzameld zijn.
Gegevens van Alice worden door AISP verwerkt
De gegevens van Alice staan nu bij de AISP. Deze mag hier niets anders mee doen dan is afgesproken in het contract. De PSD2 herhaalt nadrukkelijk enkele belangrijke privacyprincipes. Een belangrijk privacyprincipe is doelbinding, weten waarvoor persoonsgegevens worden verzameld en verwerkt stelt een persoon in staat om al dan niet akkoord te gaan met een verwerking, en te weten waartoe zijn rechten (zoals het recht op inzage) gericht is. De doelbinding is door de definitie van een rekeninginformatiedienst behoorlijk goed afgebakend. Een ander principe is dataminimalisatie. Dit is het beperken van de hoeveelheid gegevens tot alleen datgene dat noodzakelijk is om een verwerking uit te voeren.
#Adv ‘Hey Alice, is dit iets voor je?’
Eve biedt meer diensten aan dan alleen de rekeninginformatiedienst. Eve biedt de mogelijkheid om op basis van de betalingsgegevens aanbiedingen te krijgen, bijvoorbeeld van energieleveranciers. Alice wil hier meer van weten. Het klinkt leuk, maar naar wie gaan haar gegevens dan? Bij Eve worden de betalingsgegevens van Alice omgezet in een profiel. Dit profiel wordt aan verschillende energieleveranciers aangeboden.
Alice ziet dat ze kan besparen op kosten van een energieleverancier. Ze besluit van energieleverancier over te stappen. Via een knop in de Eve-app komt ze op de aanmeld-site van de energieleverancier. Ze sluit een contract af met de leverancier. Mooi toch? Bob twijfelt. Hij leest in de voorwaarden van Eve dat het bedrijf gebruik maakt van een externe dienstverlener die gespecialiseerd is in het maken van profielen. De gegevens van Alice blijven niet bij Eve, maar worden ook verwerkt door Mallory Ltd. In het privacystatement leest dat Mallory Ltd. risicoprofielen opstelt, mede aan de hand van open bronnen en bronnen die niet openbaar zijn, bijvoorbeeld incassobureaus en (handels)informatiebureaus.
Alice trekt haar toestemming in
Het zit Alice niet lekker. Ze besluit te stoppen met Eve. Je toestemming moet je altijd en op eenvoudige wijze kunnen intrekken In de app klikt ze op de knop ’toestemming intrekken’. De verbinding tussen de bank en Eve is nu verbroken. De betalingsgegevens van Alice staan nog bij Eve. En omdat Alice meerdere diensten via Eve heeft afgenomen staan haar gegevens ook bij die partners. Alice heeft het recht om de gegevens te laten wissen, het 'recht op vergetelheid'. Alice zal om dit recht moeten vragen, niet alleen bij Eve maar bij alle partners waar ze diensten van heeft afgenomen. Het uitoefenen van de ‘rechten van de betrokkene’ zijn vaak lastig uit te voeren. Daarnaast moeten bepaalde financiële gegevens 7 jaar bewaard worden en zullen die tijd een slapend bestaan leiden. Geanonimiseerde gegevens of gegevens in modellen en profielen zullen ook achterblijven
Alice merkt: toestemming intrekken is niet automatisch gegevens wissen
Alice komt er al snel achter dat ze bij iedere dienst die ze via Eve heeft afgenomen moet vragen om haar gegevens te wissen. Alleen de overdracht van betalingsgegevens wordt gedeactiveerd. Dit zal ze ook bij Eve moeten doen. Omdat Alice nog klant is van Eve en alleen de diensten staakt, zal Eve de gegevens nog niet wissen. Dit kan ook gelden voor de andere aanbieders waarvan de contracten nog doorlopen. De kans is groot dat Alice het er maar bij laat zitten.
Dit artikel wordt voortdurend uitgebreid. Heb je suggesties of wil je weten hoe het verder gaat met Bob? Laat het ons weten via martijn@privacyfirst.nl.