Afgelopen 15 december nam de European Data Protection Board (EDPB) de ‘Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR‘ aan. We gaven ons commentaar tijdens de consultatie. In 20 pagina’s en 40 opmerkingen maakten we duidelijk hoe de richtlijnen en PSD2 aangepast kunnen worden om privacy van gebruikers beter te beschermen. We vonden dat de eerste versie al behoorlijk goed en concreet, maar zagen genoeg punten ter verbetering. Hoe beter de richtlijnen, hoe beter gegevens beschermd zullen worden door aanbieders van PSD2 diensten.
Zijn de richtlijnen verbeterd?
Na de eerste keer lezen vroegen we ons af of ze überhaupt aangepast waren :-). Afgezien van wat punten, komma’s en kleine aanpassingen blijven de richtlijnen zoals ze waren voorgesteld. Verzuimt de EDPB goede commentaren uit het veld te benutten? Ook bij andere respondenten zagen we regelmatig goede opmerkingen die het waard waren om opgenomen te worden. Die hebben we niet teruggezien. En de paar aanpassingen die we zagen hadden we dan weer niet eerder voorbij zien komen. We moeten er maar van uitgaan dat het gelezen is en meegenomen wordt…
Dat de richtlijnen nauwelijks zijn aangepast zien we als goed nieuws. De paragrafen die wij belangrijk vinden zijn behoorlijk concreet en geven goede handvatten waardoor aanbieders betere privacy by design moeten toepassen. Het zou jammer zijn geweest als die paragrafen afgezwakt waren door het lobby geweld.
Nauwelijks aangepast? dat is goed nieuws…
De concrete uitwerking door de richtlijnen is een belangrijke hulp in het complexe speelveld. Beide wetten willen kaders stellen en vooral ruimte geven aan bedrijven om financiële en persoonsgegevens te benutten. De AVG is complex vanwege de ‘open normen’ en de PSD2 is een lastige wet omdat AISP (rekeninginformatiediensten) en PISP (betalingsdiensten) door elkaar heen lopen. Daarbij wijst de PSD2 vooral naar de AVG als het gaat om privacybescherming en maakt zich met de ‘expliciete toestemming’ van artikel 94 lid 2 PSD2 makkelijk van de discussie af. In zo’n context is iedere verduidelijking winst.
… maar toch een beetje jammer
De richtlijnen zijn behoorlijk duidelijk over transparantie, bijzondere persoonsgegevens en ‘silent third party data’. Op een aantal punten blijven ze te kort schieten. Voorbeelden zijn:
- het uitoefenen moet net zo snel kunnen als de overige dienstverlening. De wettelijke maximale termijn zou alleen in uitzonderlijke gevallen mogen voorkomen;
- de manier van informatie verstrekken, zoals volgens de ‘good practices’ en dat de informatie ‘machine readable’ is
- werk uit hoe een aanbieder moet omgaan met gegevens als toestemming binnen de 90 dagen worden ingetrokken
- werk de verschillen en overeenkomsten van ’toestemming’ tussen AVG en PSD2, een punt van veel verwarring, nader uit
- benadruk de mogelijkheid om ook categorieën persoonsgegevens, waaronder de bijzondere, uit te sluiten
- ga in op de omgang met strafrechtelijke gegevens: de PSD2 kan de bestaande Zwarte Lijsten omzeilen (AP, leest u mee?)
- wees duidelijke over wat rekeninginformatiediensten zijn en naast het digitale huishoudboekje al snel gedetailleerde profilering kunnen inhouden
Conclusie
Hoewel de EDPB een kans mist om nóg betere richtlijnen te maken moeten we blij zijn met wat er ligt. Het helpt ons PSD2 project zeker verder. De richtlijnen laten regelmatig geen misverstand bestaan dat maatregelen getroffen moeten om de gegevensverwerking te kunnen beperken.
Helaas blijven ook met de richtlijnen in de hand grote risico’s bestaan voor gebruikers van rekeninginformatiediensten. Hier geldt nog steeds: ‘eens gegeven, blijft gegeven’. Van wie een dienst gebruikt en deze schakelt andere partijen in, is binnen een paar seconden het profiel bijgewerkt met de financiële gegevens. Terugdraaien zal lastig, zo niet onmogelijk zijn. Alle reden om door te blijven bouwen aan het PSD2-me-niet-filter.