Op 19 februari 2019 trad de nieuwe Europese richtlijn Payment Service Directive 2, oftewel de PSD2, in werking. Deze Europese wet voor betaaldiensten maakt het mogelijk dat consumenten kunnen betalen met een andere app dan die van hun bank. Hierdoor kan je als consument makkelijker, veiliger en goedkoper (grensoverschrijdend) betalen. Klinkt handig, zou je denken. Maar (commerciële) partijen die die nieuwe betaaldiensten aanbieden hebben daarvoor wél toegang nodig tot je betaalrekening en je gegevens. Wat zijn de gevolgen van deze nieuwe wet? Privacy Zeker zocht het voor ons uit.
Waarom deze betaalwet?
De PSD2 is ontstaan om traditionele banken van meer concurrentie te voorzien. De gedachtegang is simpel: als naast banken ook andere partijen betaaldiensten mogen ontwikkelen, zal het bankieren automatisch verbeteren en goedkoper worden. Naast meer concurrentie komt er ook meer innovatie. Het is de verwachting dat technologiebedrijven en winkelketens met digitale huishoudboekjes op de markt komen en apps waarmee makkelijk kan worden betaald tijdens het online shoppen. Om dat te doen hebben deze nieuwe betaaldiensten dus wel toegang nodig tot je betaalrekening.
Toestemming
Uiteraard kunnen deze nieuwe betaaldiensten niet zomaar bij de betaalgegevens van hun gebruikers. Daarvoor moet je als gebruiker eerst toestemming geven. Nadat je toestemming hebt gegeven moeten banken de betaaldiensten toegang geven tot bankgegevens.
Hoe er om die toestemming gevraagd zal worden lijkt op de manier die we kennen uit de AVG. De toestemming moet namelijk uitdrukkelijk zijn en vooraf moet duidelijk zijn waar je precies toestemming voor geeft. De kaders moeten duidelijk worden gecommuniceerd. Na het geven van deze toestemming kan je bijvoorbeeld een webshop toegang verlenen voor het doen van betalingen. Bij het afrekenen hoef je niets meer te doen. De webshop betaalt zichzelf namelijk voor jou. Je dient overigens voor elke keer dat je een andere partij voor je wil laten betalen, toestemming te geven. Daarnaast mogen alleen de gegevens worden gebruikt die nodig zijn om de actie uit te voeren.
Er zijn ook risico’s
Toch is het niet geheel zonder risico’s. Een partij inzicht geven in jouw betaalrekening laat het bedrijf dus zien wat jouw betaalverkeer naar andere partijen is. Bij welke winkels wordt er gekocht, hoeveel en hoe vaak en waar? Kan daar op ingespeeld worden met slimme marketing strategieën? Zijn die gegevens in veilige handen? Het roept een hoop vragen op.
Daarnaast is het zo dat ondanks dat je geen toestemming hebt gegeven, fragmenten van jouw betalingsverkeer toch bekend worden bij partijen waarvan je dit niet weet. Een vriend of vriendin waarnaar jij geld overmaakt kan namelijk wél toestemming hebben gegeven. Zodoende weet deze commerciële partij toch te achterhalen dat jij een uitgave hebt gedaan of er een hebt ontvangen.
Partijen kunnen niet zomaar met toestemming aan de slag gaan met betaalgegevens. Hiervoor moet namelijk een vergunning worden verleend door De Nederlandsche Bank (DNB). DNB meldt dat twintig bedrijven inmiddels al een vergunning hebben aangevraagd. Toch biedt dat geen garantie. Omdat dit Europese wetgeving betreft, kan een partij deze vergunning ook elders hebben gekregen. Als deze partij internationaal met betaalgegevens aan de slag gaat en in een ander land over de schreef gaat, is het lastig te achterhalen wat er met jouw gegevens gebeurt.
Wil je meer informatie over de PSD2? Neem dan contact op of kijk dan op de website van De Nederlandsche Bank.
