Betaalrichtlijn PDS2 in strijd met privacywet

Magazines | Noord-Limburg Business nr 3 2018

Het leek zo mooi. Meer concurrentie op de betaalmarkt dankzij een nieuwe Europese richtlijn. Minder macht voor de banken, meer innovatie en lagere betaalkosten. Maar deze PSD2 blijkt op gespannen voet te staan met de eveneens nieuwe privacywet AVG. “Dit zal leiden tot talrijke rechtszaken”, voorspellen  privacyspecialist Mark Jansen en Rob van Houts, expert financieel recht. 

De Europese Payment Service Directive 2 creëert een uniforme betaalmarkt dankzij één juridisch kader voor een veilig betalingsverkeer binnen de EU. De PSD2 versterkt onder meer de positie van nieuwe aanbieders, die vaak voor innovatie zorgen. Onder de richtlijn, die deze zomer in Nederlandse wetgeving moet worden omgezet, vallen onder andere banken en verwerkers van elektronische betalingen. Nieuwe partijen zijn diensten die het betalingsverkeer voor webwinkels regelen en rekeninginformatiedienstverleners. De laatste categorie bundelt informatie van meerdere betaalrekeningen tot één overzicht. “PSD2 regelt dat deze nieuwkomers toegang krijgen tot de gegevens van de rekeninghouders bij banken, zodat ze hun diensten kunnen verlenen”, leidt Rob van Houts het verhaal in. “Mits de rekeninghouder daar expliciet toestemming voor geeft en de dienst met de nodige procedures en protocollen voldoet aan de vereisten om informatie veilig
op te slaan. De PSD2 kruist daar echter de privacywetgeving omdat banken derden toegang geven tot gevoelige informatie.” “Aan PSD2 ligt een mooie gedachte ten grondslag”, vult Mark Jansen aan. “Maar vanuit de privacy zijn een paar dingen vergeten.” 

CHAOTISCH BEELD
Wat heet. Als privacyexpert is Jansen, tevens bestuurslid van de Vereniging Privacyrecht, uitgenodigd door De Nederlandsche Bank (DNB) om uiteen te zetten waar de PSD2 schuurt met de nieuwe privacywet AVG (Algemene verordening gegevensbescherming), die 25 mei van kracht is gegaan. Hij kon niet anders dan een diffuus beeld presenteren, met te kust en te keur situaties die financiële instellingen dwingen tot een spagaat. Ter illustratie toont Jansen een simpel tekeningetje met drie figuurtjes: een consument, diens bank en een rekeninginformatiedienst. Samen vormen ze een driehoek. “Iedereen kan in principe zo’n dienst beginnen”, begint Jansen. “Van snelle jongens in een IT-start-up tot de Googles van deze wereld. Ze vragen een vergunning aan bij DNB op basis van de Wet financieel toezicht (Wft), en gaan op grote schaal gegevens verwerken van mensen en bedrijven. De AVG zegt echter dat die bank verantwoordelijk blijft voor wat met de persoonsgegevens gebeurt. Stel dat een rekenin ginformatiedienst het niet al te nauw neemt met de regels. Of erger, dat zo’n bedrijf omvalt. De consument kan dan toch, ondanks zijn verstrekte toestemming, bij banken een claim indienen. De redenering? De bank had beter moeten opletten vanuit haar  privacyverantwoordelijkheid.” “Een dergelijke claim kan natuurlijk ook naar de rekeninginformatiedienst, als deze nog bestaat. Maar ik zou als consument wel weten wie ik aanklaag: degene met de diepste zakken. En dat is de bank. Als bank zou ik daarom vrijwaringen willen hebben. Maar de PSD2 verbiedt een bank zulke regelingen te treffen met een rekeninginformatiedienst.” Van Houts: “De PSD2 kent wél een bepaling dat de bank verhaal kan halen bij de rekeninginformatiedienst. Daarom is deze verplicht – met name – risico’s op tekortkomingen in de dienstverlening te verzekeren.”

HAAKS OP ELKAAR
Nog een voorbeeld. Banken en dienstverleners koppelen hun systemen aan elkaar en wisselen gegevens uit. Volgens het privacyrecht heb je dan een verwerkingsovereenkomst nodig. Jansen: “Ook hier verbiedt de PSD2 dat die partijen schriftelijke afspraken met elkaar maken. Deze twee wetten staan kortom haaks op elkaar.” Van Houts: “De PSD2 wil dat partijen niet gehinderd worden in hun nieuwe diensten en verveeld worden met allerlei dikke contracten van banken waarin staat wat ze wel en niet mogen. Vandaar dat andere dienstverleners die onder vergelijkbare voorwaarden als een bank klanten aansluiten, toegang moeten  hebben tot de systemen. De Europese Commissie heeft hierbij niet nagedacht over het privacy-aspect. Wat dan wijsheid is? Ik zou die verwerkingsovereenkomst gewoon sluiten en de AVG volgen.”

FILTEREN
Het Hof van Justitie heeft enkele jaren geleden geoordeeld dat internetproviders niet kosteloos filters hoeven te installeren om illegale content te weren. Dit is namelijk in strijd met de vrijheid van ondernemerschap, een grondrecht. Banken worden nu gedwongen om kosteloos een IT-infrastructuur in de lucht te houden en  daarop rekeninginformatiediensten aan te sluiten. “Dat is geen levensvatbaar model”, concludeert Jansen. “Het zou me dan ook niks verbazen dat een bank deze discussie gaat aanzwengelen. Waarna de rechter een streep zet door de kosteloosheid of zelfs door de gehele regeling, verwijzend naar het arrest over de 
filtering van illegale downloads.”

STRIJDIG
Jansen zet er in het tekeningetje een poppetje bij, bijvoorbeeld een familielid van de consument. Of een vriend, of tuinman. “Bij iedere betaling is een ander betrokken. Weliswaar heeft de consument toestemming gegeven aan de informatiedienstaanbieder, maar die ander weet daar helemáál niks van. Diens gegevens  komen automatisch mee. Het privacyrecht zegt dat zodra een bedrijf persoonsgegevens van iemand heeft, het dit moet melden. Maar hoe krijg je het privacystatement bij die vriend of tuinman?” Van Houts: “Nu hebben banken die gegevens ook. Maar de omgang daarmee is geregeld in een collectieve gedragscode. Dat zou in de PSD2 een route kunnen zijn. Het is echter de vraag of dat gaat lukken. Want je krijgt straks buitenlandse entiteiten die de Nederlandse markt betreden en die je geen beperkingen mag opleggen. Zo’n gedragscode is mogelijk strijdig met de Europese richtlijn en doorkruist de vrijheid van vestiging en dienstverlening.”

BESCHEIDEN ROL
Daarmee komen we bij het toezicht op Europees niveau. Rob van Houts voorziet daarin een bescheiden rol voor DNB. “Die verleent een vergunning en houdt toezicht daarop. Zodra echter persoonsgegevens in het spel zijn, is de AP als enige bevoegd om handhavend op te treden. Dan krijg je straks op Europees niveau  dat bijvoorbeeld de Duitse AP toezicht houdt op een Duitse partij die ook in Nederland actief is. Dat levert een complex samenspel op met enerzijds DNB en anderzijds de Duitse privacytoezichthouder die samen moet werken met zijn Nederlandse collega.” “In landen om ons heen is de PSD2 al omgezet in wetgeving. Daar hebben partijen al een vergunning, die dient als een soort paspoort waarmee ze ook in Nederland werkzaam mogen zijn. Ware het niet dat hier nog geen wetgeving is en DNB nog geen toetsingskader heeft. Buitenlandse entiteiten die willen aansluiten bij een Nederlandse bank, kunnen daar dus nog niet terecht.” Jansen: “Overigens kun je zo’n paspoort ook verkrijgen in landen met minder toezicht. Gaan die malafide partijen aantrekken?” 

RECHTSZAKEN
De analyse is nog lang niet compleet, maar het problematische beeld is duidelijk. De vraag is wat er aan te doen is. Jansen: “De oplossing ligt gek genoeg in uitgebreidere wetgeving.” Van Houts: “En de toezichthouders zullen elkaar moeten vinden om tot oplossingen te komen. Maar de AP is momenteel veel te druk met de AVG. Die komt er niet aan toe.” Jansen: “Ik vrees dat er veel vaag blijft. Dit zal leiden tot talrijke rechtszaken. De rechtspraak zal met interpretaties voor helderheid moeten zorgen.” Meer informatie over dit en aansluitende juridische onderwerpen: www.partnerinkennis.nl

PRIVACY MULTIDISCIPLINAIR AANVLIEGEN
Privacy is een multidisciplinaire aangelegenheid, die niet vanuit één juridisch vakgebied is aan te vliegen. Daarom kent Dirkzwager een multidisciplinaire vakgroep Privacy die de secties gezondheidsrecht, arbeidsrecht, aansprakelijkheid, schade & verzekeringen (ASV), en intellectueel eigendom & IT-recht verenigt. Én financieel recht. Mark Jansen: “Rob en ik werken bijvoorbeeld voor een grote Franse bank die midden in een AVG-project zit. Daar sparren we met elkaar over zodat ik het financiële recht kan toepassen op het privacyrecht en we samen de cliënt verder kunnen helpen.”
delen:
Algemene voorwaarden