AP heeft kanttekeningen bij wetsvoorstel betaalrichtlijn PSD2
De Autoriteit Persoonsgegevens (AP) heeft kanttekeningen bij het Wetsvoorstel Implementatiewet herziene richtlijn betaaldiensten, dat bekend staat als PSD2 (European Payment Services Directive 2). Dat blijkt uit het advies dat de privacytoezichthouder naar de minister van Financiën stuurde (pdf).
Het doel van het wetsvoorstel is om de herziene Europese richtlijn om te zetten in Nederlandse wetgeving. Het gaat om nieuwe Europese regels voor digitale toegang tot bankgegevens waardoor bankklanten ook andere partijen toegang tot hun financiële gegevens bij hun bank kunnen geven en betalingen via hun rekening kunnen laten uitvoeren. Volgens de AP biedt PSD2 nieuwe soorten dienstverleners de kans om actief te worden op de betaalmarkt.
Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dit betekent dat de regels van de AVG gelden zodra PSD2 wordt ingevoerd. De AP heeft daarom in haar advies gekeken naar de verhouding tussen het wetsvoorstel en de AVG. De AP benadrukt dat betaalgegevens persoonsgegevens zijn en de privacywetgeving van toepassing is. In het wetsvoorstel zijn echter ook aparte regels opgenomen voor privacybescherming. Dat werkt verwarrend, aldus de toezichthouder.
De Autoriteit Persoonsgegevens adviseert daarom om de verhouding tussen PSD2 en de AVG te verduidelijken. Dan weten particulieren, bedrijven en banken waar ze aan toe zijn. Verder adviseert de toezichthouder om in het wetsvoorstel te benadrukken dat de AP niet gebonden is aan een oordeel van de Nederlandse Bank (DNB) als het om privacybescherming gaat. Het is namelijk aan de Europese privacytoezichthouders, en vervolgens aan de rechter, om een definitieve interpretatie te geven van de rechtstreeks werkende normen uit de AVG. Gezien de kanttekeningen bij het wetsvoorstel adviseert de Autoriteit Persoonsgegevens om het voorstel pas bij de Tweede Kamer in te dienen nadat met deze opmerkingen rekening is gehouden.
Ik stel voor over te stappen naar: https://www.emerce.nl/nieuws/banken-zetten-hek-om-rekeninginformatie
TheYOSH
Betaalverkeer heeft zelden betrekking op slechts 1 persoon. Wat gebeurt er met de persoonsgegevens van een anders als een persoon toestemming geeft om de 'eigen' betaalgegevens met een bedrijf te delen?
De wet stelt dat voor de aanvang van verwerking van persoonsgegevens de eigenaar door de verwerker op de hoogte moet worden gebracht en welke grond daarvoor bestaat als er geen expliciete toestemming is gegeven.
Dat dit moment niemand zich iets van die verplichtingen aan trekt is geen excuus om bij een implementatie van PSD2 zowel die toestemming als die inlichting te negeren. En een juridisch argument dat je onvoldoende gegevens hebt om de betreffende personen in te lichten en om toestemming te vragen en dus maar kan doorzetten is er niet. De plicht is om in beginsel zorg te dragen voor afdoende technische en organisatorische middelen om alle persoonsgegeven te beschermen. heb je die niet, dan kan je de gegevens ook niet verwerken.
Betaalverkeer heeft zelden betrekking op slechts 1 persoon. Wat gebeurt er met de persoonsgegevens van een anders als een persoon toestemming geeft om de 'eigen' betaalgegevens met een bedrijf te delen?
Wat gebeurd er met mijn persoonsgegevens die bij jouw in je telefoonboekje staan en jij bent Whatsapp gebruiker en ik niet?
Wat gebeurd er met mijn foto die jij gemaakt hebt en in Picasa/FB/OF whatever tagged met mijn naam etc?
M.a.w. wat gebeurd er met informatie die ik zelf niet beschikbaar stel op internet en waar ik geen invloed op uit kan oefenen?
Betaalverkeer heeft zelden betrekking op slechts 1 persoon. Wat gebeurt er met de persoonsgegevens van een anders als een persoon toestemming geeft om de 'eigen' betaalgegevens met een bedrijf te delen?
Als ik u goed begrijp doelt u op informatie van andere personen die zichtbaar zijn in uw bankgegevens.
Zoja, waarom zou je je daar zorgen om maken. Dit doe je ook niet als je WhatsApp of een andere app toegang geeft tot je contact info of je agenda op je mobiele telefoon. Tis voor uzelf toch handig en makkelijk, de ander is irrelevant.
Dit is voor mij ook een zwaar onderbelicht punt en ben het met u eens.
Betaalverkeer heeft zelden betrekking op slechts 1 persoon. Wat gebeurt er met de persoonsgegevens van een anders als een persoon toestemming geeft om de 'eigen' betaalgegevens met een bedrijf te delen?
Heb mijn bank gepolst.
Ze weten het ook niet en lijken te vinden dat slechts je naam en rekeningnummer gedeeld worden. Dus??
Gelukkig wordt dit punt wel verder intern uitgezocht en geadresseerd. Uitkomst natuurlijk onzeker.
Ik stel u allen voor, als u dit een probleem vindt, om uw bank te bellen of te bevragen en ze heel duidelijk te maken dat u dit niet accepteert.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
