Afgelopen 19 januari is de Payment Service Directive 2 (PSD2) van kracht gegaan, deze vervangt de eerdere richtlijn PSD1. Dit is een Europese richtlijn die zorgt voor de regulering van betaaldiensten in de Europese Unie. De komst van PSD2 brengt een aantal belangrijke wijzigingen met zich mee waar iedereen mee te maken gaat krijgen, jij dus ook.

Wat moet je weten? 

De belangrijkste verandering is dat derde partijen toegang kunnen krijgen tot jouw betaalrekeningen, banken zijn verplicht hieraan mee te werken. Dit mag alleen wanneer jij hier zelf toestemming voor hebt gegeven. De toestemming die jij geeft geldt alleen voor die partij waar jij deze aan geeft. Deze partijen hebben een speciale vergunning nodig van De Nederlandse Bank of een andere Europese toezichthouder. De gegeven toegang geldt voor maximaal 90 dagen, hierna moet opnieuw om toestemming gevraagd worden.

Gemak versus privacy

De nieuwe mogelijkheid van het geven van toegang aan derde partijen kan veel gemak en nieuwe soorten diensten opleveren. Bijvoorbeeld digitale huishoudboekjes met overzichten van al je inkomsten en uitgaven van het totaal aan betaal- en spaarrekeningen die je hebt. Welke nieuwe diensten er exact gaan komen is nog niet bekend. Het is belangrijk om als consument bewust te zijn van het feit dat je gegevens deelt en kijkt welke gegevens je deelt met welke derde partij. Dit kunnen ook derde partijen zijn in een ander land van de Europese Unie en dus niet altijd onder Nederlands toezicht vallen. Weet van te voren goed hoe deze partijen met jouw gegevens om zullen gaan en loop hiermee geen onnodig risico.

Nederlandse toezichthouders

Het toezicht op betaaldienstverleners is verdeeld over vier toezichthouders die onderling weer met elkaar samenwerken:

• De AFM – Houdt toezicht op informatieverstrekking en klachtenprocedures van betaaldienstverleners en het recht van rekeninghouders om gebruik te maken van rekeninginformatiediensten en betaalinitiatiediensten.
• De Nederlandsche bank (DNB) – Verleent de vergunningen aan betaaldienstverleners en houdt o.a. toezicht op de financiële positie van deze dienstverleners.
• De Autoriteit Persoonsgegevens (AP) – Houdt toezicht op de bescherming van privacy en dus de omgang met persoonsgegevens.
• De Autoriteit Consument en Markt (ACM) – Is verantwoordelijk voor de toegang tot betaalsystemen en betaalrekeningdiensten van betaalinstellingen.

Dus voordat je deelt…

Voordat je deelt is het dus belangrijk na te gaan:

WAT je deelt: check of dat wat je deelt ook echt is wat je wilt delen en deel geen dingen die je niet wilt delen

met WIE je dit deelt: welke organisatie zit er achter de dienst en is deze wel betrouwbaar? Onder welk toezicht valt deze organisatie?

WAAROM je het deelt: deel niet zomaar financiële gegevens als het niet nodig is of voor iets dat je uiteindelijk toch niet gaat gebruiken.

Zorg voor bewustwording en houdt grip op jouw eigen gegevens! Hulp nodig bij grip op privacy? AVAQ helpt met haar privacyawarenesstrainingen. 

Het is voor de meeste niet onbekend meer dat 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG/GDPR) in werking is getreden. Maar wist je ook dat gelijktijdig een andere verordening in werking had moeten treden? Namelijk: de ePrivacy Verordening (ePV). Door onenigheid over de concepttekst is de inwerkingtreding van deze verordening tot op heden nog niet doorgegaan. Wat is deze ePrivacy Verordening eigenlijk? en wat is het verschil met de Algemene Verordening Gegevensbescherming? 

Waar gaat de AVG/GDPR ook alweer over?

De AVG/GDPR is de privacywet die de Wet bescherming persoonsgegevens (Wbp) heeft vervangen. Door deze wet zijn de regels voor het bedrijfsmatig verwerken van persoonsgegevens in de hele Europese Unie hetzelfde. De AVG zorgt er onder meer voor dat privacyrechten worden versterkt. Organisaties hebben meer verantwoordelijkheden en verplichtingen met betrekking op de omgang met persoonsgegevens. Voorbeelden hiervan zijn: het opstellen van een Verwerkingsregister en betrokken personen actief wijzen op hun recht op inzage, wijziging en verwijdering.

Van ePrivacy Richtlijn naar Verordening

Momenteel zijn er de ePrivacy Richtlijn (ePR) en de Nederlandse Telecommunicatiewet. Deze worden vervangen door de ePV, wat staat voor ePrivacy Verordening. De Richtlijn wordt hiermee vervangen door een Verordening. Een richtlijn geldt als een advies voor lidstaten maar is niet verplicht om na te leven. Een verordening is wel verplicht om na te leven. Om wetgeving in de de hele EU te harmoniseren is het de bedoeling dat de richtlijn wordt vervangen door de Verordening.

Het verschil tussen de AVG en de ePV

De ‘e’ in ePV staat voor: elektronisch. Waar de AVG zich bezighoudt met iedere vorm van het verwerken van persoonsgegevens richt de ePV zich enkel op verwerking van persoonsgegevens voor elektronische communicatiediensten. Denk hierbij aan: e-mail, telecommunicatie en cookies. Organisaties worden door de Verordening bijvoorbeeld gedwongen om altijd een goed functionerende website aan te bieden, ook wanneer cookies niet geaccepteerd worden. Ook brengt het regels met betrekking tot spam en het geven van toestemming voor het benaderen via elektronische communicatie. De ePV is een ”Lex Specialis” en werkt hierdoor boven de AVG wanneer het gaat om elektronische communicatiediensten. Hierdoor is straks voor veel bedrijven het naleven van de ePV minstens zo belangrijk als het naleven van de AVG. De verwachting is dat de ePV in de loop van 2019 in werking zal gaan treden.

Weten wat belangrijk is voor jouw organisatie wanneer het gaat om de AVG en de ePV? Neem contact met ons op, wij helpen u graag bij de bescherming en borging van privacy binnen uw organisatie.