Als NGO die zich inzet voor burgerrechten en privacybescherming houdt Privacy First zich al jaren bezig met financiële privacy. Sinds 2017 volgen we de ontwikkelingen rondom PSD2 op de voet, waarbij we wijzen op de gevaren voor de privacy van consumenten als data-subject. In het bijzonder richten wij ons op privacyvraagstukken die zich voordoen rond ‘account information service providers’ (AISP’s) en de mogelijkheden die PSD2 biedt om persoonsgegevens verder te verwerken.
Ons PSD2 project begon in 2017. Toen dachten we dat het verstrekken van meer adequate informatie en meer transparantie aan consumenten voldoende zou zijn. De risico’s van PSD2 bleken echter groter en fundamenteler. Daarom hebben wij een tweetalige (Nederlands & Engels) website gelanceerd genaamd PSD2meniet.nl/nl om zowel onze zorgen als onze oplossingen ten aanzien van PSD2 te schetsen.
Centraal in ons project staat het filteren van bijzondere persoonsgegevens door het PSD2-me-niet register. Het idee is op 7 januari 2019 gelanceerd in het televisieprogramma Radar en in dit persbericht. Het PSD2-me-niet-register moet gebruikers daadwerkelijk een instrument geven waarmee zij hun eigen persoonsgegevens kunnen beschermen. Op termijn moet verdergaande filtering en beperking mogelijk worden. Met het project dragen we bij aan positieve verbeteringen van PSD2 en de implementatie ervan, om zo een betere bescherming van persoonsgegevens te bereiken. Hierbij zijn we gesteund door het SIDN Fonds.
Bescherming van bijzondere persoonsgegevens
We richtten ons vooral op ‘bijzondere persoonsgegevens’. Betalingen in vakbonden, politieke partijen, religieuze organisaties of LBHT belangenorganisaties, of betalingen in medische dienstverlener. Maar ook betalingen aan het CJIB: ze onthullen delen van ons leven die extra beschermd moeten worden. Deze gegevens zijn direct te relateren aan fundamentele mensenrechten. Wanneer een consument een rekeninginformatiedienst gebruikt kunnen deze gegevens breder gedeeld worden. Door PSD2 kunnen gegevens, die nu beschermd zijn, via een omweg toch breed bekend worden, bijvoorbeeld doordat ze opgenomen worden in een profiel. Of omdat ze gebruikt worden als zwarte lijst.
De beste bescherming is voorkómen dat bijzondere persoonsgegevens worden verwerkt. We hebben een PSD2-me-niet register opgezet en daaromheen een API, een privacyfilter. Met dit filter kan een AISP rekeningnummers detecteren en filteren en zo voorkomen dat bijzondere persoonsgegevens onnodig verwerkt of verstrekt worden. Bovendien wordt een consument geïnformeerd en krijgt deze een echte keuze om gegevens te delen of dat niet te doen.
Hoe nu verder?
Met de whitepaper en de API hebben we de instrumenten ontwikkeld en verspreid die gebruikt kunnen worden door AISP’s. De EC evalueert de PSD2 pas vanaf 2022. Daarom zijn we blij dat we op deze manier de gedachten hebben kunnen overdragen.
De API is opgenomen in een dienstverlener, Gatekeeper for Open Banking. We steunen hun doorontwikkeling en denken mee hoe het privacyfilter opgenomen kan worden in hun ontwerp en dienstverlening. Wanneer AISP’s de Gatekeeper gebruiker krijgen consumenten de regie over hun data die zij verdienen.
Een groot deel van onze resultaten hebben we vervat in een whitepaper. Deze is verstuurd aan stakeholders zoals toezichthouders de EC, EDPB en de AP. En natuurlijk zoveel mogelijk AISP’s, want als zij de maatregelen overnemen beschermen zij privacy ‘by design’. De Whitepaper bevat daarnaast een aantal andere voorbeelden hoe privacy beter te beschermen. Zoal de ‘good practices’ om betere transparantie over rekeninginformatiediensten te krijgen. We hopen dat AISP’s de adviezen van de whitepaper ter harte nemen.
We blijven dit dossier monitoren. De website PSD2meniet.nl blijft in de lucht en zal een basis blijven voor dit onderwerp.
Heb je suggesties of wil je weten hoe het verder gaat? Laat het ons weten via martijn@privacyfirst.nl.