Vergroot contrast

Betaaldiensten

Betaaldienstverleners hebben toegang tot betaalgegevens van consumenten. Dit zijn vaak gevoelige persoonsgegevens. Bijvoorbeeld gegevens over het inkomen en het koopgedrag. Daarom moeten betaaldienstverleners uitdrukkelijk toestemming vragen aan consumenten. Dit is vastgelegd in de tweede Payment Service Directive (PSD2).

Uitdrukkelijke toestemming

Uitdrukkelijke toestemming onder PSD2 houdt onder meer in dat consumenten actief de gevraagde toestemming moeten geven. Dat moet afzonderlijk van de andere onderdelen van een overeenkomst gebeuren.

Consument beslist

Zonder uitdrukkelijke toestemming mag de betaaldienstverlener geen toegang hebben tot de betaalgegevens van die consument. De consument beslist dus zelf of een betaaldienstverlener inzage mag hebben in zijn of haar rekeningen en betaalgedrag.

Over PSD2

PSD2 is een Europese richtlijn. Het doel ervan is om innovatieve betaaldiensten te bevorderen en de privacy van consumenten te beschermen.

Betaaldienstverleners moeten zich naast de richtlijn PSD2 ook houden aan de Algemene verordening gegevensbescherming (AVG)

Nieuws

Alle nieuwsberichten over het onderwerp 'Betaaldiensten'

Alle antwoorden op mijn vragenAlgemene vragen over PSD2

  • Waarover gaat de PSD2-richtlijn?

    PSD2 staat voor de tweede Payment Service Directive. Het is een Europese richtlijn voor betaaldienstverleners. Deze richtlijn regelt onder meer dat niet alleen banken maar ook andere partijen toegang mogen hebben tot een betaalrekening. Deze partijen moeten daarvoor een vergunning hebben van De Nederlandsche Bank.

    Betaaldienstverleners mogen alleen toegang krijgen tot persoonsgegevens voor het uitvoeren van een betaaldienst als de consument daarvoor uitdrukkelijk toestemming heeft gegeven.

    In de EU gaan overal dezelfde regels gelden. Dat maakt het eenvoudiger om deze diensten aan te bieden en te gebruiken. De regels uit de richtlijn zijn omgezet in Nederlandse wetgeving. Deze wet geldt nog niet.

    Volgens het wetsvoorstel gaat de Autoriteit Persoonsgegevens (AP) toezicht houden op de regels van PSD2 die gaan over privacy.

    Zie ook: Waarom een speciale richtlijn voor betaaldienstverleners?

  • Wanneer wordt de PSD2-richtlijn van kracht?

    De PSD2-richtlijn is al in werking getreden maar moet nog worden omgezet in Nederlandse wetgeving.

    Dat gebeurt met een implementatiewet. Deze wet is inmiddels door de Tweede Kamer aangenomen en is daarna bij de Eerste Kamer ingediend.

    In de implementatiewet worden de eisen van PSD2 in de Nederlandse wet uitgewerkt en wordt bepaald wie daarop toezicht houdt.

    Het maken van nationale PSD2-wetten moet in ieder EU-land gebeuren.

  • Wat zijn betaaldienstverleners?

    Betaaldienstverleners zijn bedrijven die betaaldiensten aanbieden of diensten die helpen overzicht te houden over afzonderlijke bankrekeningen. 

    Consumenten kunnen zo’n bedrijf bijvoorbeeld inschakelen om via hun mobiel een betaling te doen. Of om een huishoudboekje bij te houden op basis van informatie van hun bankrekening.

    Gevoelige persoonsgegevens

    PSD2 stelt eisen aan betaaldienstverleners zodat de dienstverlening veilig verloopt. De bescherming van de privacy van consumenten is een belangrijk onderdeel omdat betaalgegevens gevoelige financiële persoonsgegevens zijn.

    Uitdrukkelijke toestemming

    Daarom vereist PSD2 dat consumenten alleen via uitdrukkelijke toestemming toegang kunnen verlenen tot hun persoonsgegevens, voor zover deze gegevens nodig zijn om de betaaldienst te kunnen uitvoeren.

    Die uitdrukkelijke toestemming kunnen consumenten uiteraard alleen geven voor hun eigen persoonsgegevens.

    Overal in de EU

    Als betaaldienstverleners zich aan de PSD2-regels houden, mogen zij overal in de EU hun diensten aanbieden. Zo kunnen consumenten ook gebruikmaken van aanbieders uit andere EU-landen.

  • Waarom een speciale richtlijn voor betaaldienstverleners?

    De speciale regels voor betaaldienstverleners uit de PSD2-richtlijn zijn er omdat betaalgegevens vaak gevoelige informatie bevatten over iemands privéleven.

    Nieuwe betaaldiensten

    Er zijn steeds meer partijen die nieuwe betaaldiensten willen aanbieden. Denk aan betaalapps die consumenten een overzicht geven van hun betaalrekeningen bij verschillende banken. Of een handige dienst die zelf betalingen regelt.

    De PSD2-richtlijn geeft ruimte aan betaaldienstverleners om nieuwe betaaldiensten te ontwikkelen. Tegelijkertijd bevat de richtlijn extra regels om de privacy van consumenten te beschermen.

    Algemene privacywet

    Betaaldienstverleners moeten zich net als alle andere organisaties houden aan de privacywet, de Algemene verordening gegevensbescherming (AVG).

  • Hoe is het toezicht op PSD2 geregeld?

    Er zijn vier toezichthouders betrokken bij het toezicht op het betalingsverkeer. Naast de Autoriteit Persoonsgegevens (AP) hebben de DNB, ACM en AFM een rol.

    • De AP houdt toezicht op de bescherming van de privacy van mensen. Daarbij kijkt de AP naar de eisen in de Algemene verordening gegevensbescherming (AVG) en naar de eisen die zijn opgenomen in PSD2.
    • DNB krijgt de taak om vergunningen te verlenen aan aanbieders van betaaldienstverleners. De toezichtstaak van DNB is gericht op het waarborgen van een stabiel financieel stelsel. Zowel in het belang van de burger, als in het belang van het bedrijfsleven, vindt overleg en samenwerking plaats met de AP.
    • De ACM kijkt naar de concurrentie tussen aanbieders op de betaalmarkt en het verlenen van toegang door de bank tot rekeninginformatie.
    • De AFM speelt een belangrijke rol als een betaaldienstverlener ook financiële producten of diensten aanbiedt. Bijvoorbeeld een krediet. Daarvoor moet een vergunning worden verkregen van de AFM.

    Vanzelfsprekend werken de toezichthouders nauw samen. Dit is zowel van belang voor de burger (het gaat immers om zijn privacybescherming) als voor bedrijven (die moeten natuurlijk rechtszekerheid hebben).

  • Wat is de rol van de AP bij het toezicht op betaaldienstverleners?

    De Autoriteit Persoonsgegevens (AP) is de toezichthouder op de privacywetgeving in Nederland: de Algemene verordening gegevensbescherming (AVG).

    Ook ziet de AP toe op de extra regels die gelden voor betaaldienstverleners. Deze zijn vastgelegd in de tweede richtlijn Payment Service Directive (PSD2).

    Advies AP over PSD2

    De AP is behalve toezichthouder ook wetgevingsadviseur. Over PSD2 heeft de AP twee keer geadviseerd:

    • In augustus 2017 heeft de AP geadviseerd over het wetsvoorstel Implementatiewet herziene richtlijn Betaaldiensten. De twee belangrijkste punten waren toen: verduidelijk de verhouding tussen de AVG en de PSD2-richtlijn en verduidelijk welke toezichthouder waarop toezicht houdt. Zodat mensen, bedrijven en banken en toezichthouders weten waar ze aan toe zijn.
    • In januari 2018 heeft de AP geadviseerd over het implementatiebesluit PSD2. Het advies was om het gehele toezicht op de bescherming van persoonsgegevens bij betaaldiensten onder te brengen bij één toezichthouder, namelijk de AP.

    Vanzelfsprekend werkt de AP bij privacybescherming binnen het betalingsverkeer nauw samen met de toezichthouders DNB, ACM en AFM.

  • Gelden overal in Europa dezelfde eisen voor uitdrukkelijke toestemming?

    Ja. In de hele Europese Unie gelden dezelfde eisen voor het vragen van uitdrukkelijke toestemming.

    De Autoriteit Persoonsgegevens (AP) is lid van de European Data Protection Board (EDPB). Alle Europese privacytoezichthouders zijn lid van dit Europese samenwerkingsverband.

    Het standpunt van de EDPB over de bescherming van persoonsgegevens door betaaldienstverleners is gepubliceerd in een brief op de website van de EDPB.

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden

Alle antwoorden op mijn vragenVragen van betaaldienstverleners over uitdrukkelijke toestemming onder PSD2

  • Waarvoor moet ik als betaaldienstverlener uitdrukkelijk toestemming vragen?

    Een van de belangrijkste privacyregels uit de PSD2-richtlijn is dat betaaldienstverleners zonder uitdrukkelijke toestemming geen toegang mogen hebben tot persoonsgegevens. Dit geldt bijvoorbeeld voor rekeninghoudende betaaldienstverleners (zoals banken) en betaalinitiatiedienstverleners.

    Soorten toestemming PSD2

    PSD2 kent 3 soorten toestemming:

    • uitdrukkelijke toestemming voor de toegang van de betaaldienstverlener tot persoonsgegevens;
    • uitdrukkelijk instemming met de betaalopdracht of transactie;
    • uitdrukkelijk instemming met toegang tot de betaalrekening voor rekeninginformatiedienstverleners.

    Bij de laatste 2 soorten toestemming vraagt de betaaldienstverlener waar de consument de betaalrekening heeft lopen - de bank - of een andere partij toegang mag tot die rekening.

    Let op: u mag alleen uitdrukkelijke toestemming vragen voor toegang tot persoonsgegevens die noodzakelijk zijn voor het aanbieden van uw betaaldienst.

    Zie ook:

  • Voor welke betaaldienstverleners geldt de eis van uitdrukkelijke toestemming onder PSD2?

    Het vereiste van uitdrukkelijke toestemming voor de toegang tot persoonsgegevens geldt voor alle soorten betaaldiensten. Dit is vastgelegd in de PSD2-richtlijn. Er geldt een uitzondering voor dienstverlening die alléén bestaat uit het aanbieden van een rekeninginformatiedienst.

    Uitzondering voor rekeninginformatiediensten

    Het vereiste van uitdrukkelijke toestemming voor de toegang tot persoonsgegevens geldt niet als de dienstverlening alléén bestaat uit het aanbieden van een rekeninginformatiedienst, zoals een digitaal huishoudboekje.

    Wel moet de consument in zo’n geval uitdrukkelijk instemmen met de dienstverlening. Dit gebeurt via een autorisatie die maximaal 90 dagen geldig is.

    De rekeninginformatiedienst mag geen persoonsgegevens verwerken voor andere doelen dan het uitvoeren van de rekeninginformatiedienst. De rekeninginformatiedienst moet zich houden aan alle regels uit de Algemene verordening gegevensbescherming. 

    Let op: zodra de rekeninginformatiedienst wordt gecombineerd met een andere betaaldienst, bijvoorbeeld een betaalinitiatiedienst, dan geldt het vereiste van uitdrukkelijke toestemming voor de toegang tot persoonsgegevens wél.

    Meer informatie

  • Aan welke eisen voor uitdrukkelijke toestemming moet ik als betaaldienstverlener voldoen?

    De eis uitdrukkelijke toestemming betekent dat u afzonderlijk van de andere onderdelen van de overeenkomst een consument om toestemming vraagt om zijn of haar persoonsgegevens te verwerken.

    Daarnaast moet de manier waarop u toestemming vraagt aan de volgende eisen voldoen.

    Vrij

    U mag als betaaldienstverlener niemand onder druk zetten om toestemming te geven. Een consument moet toestemming kunnen weigeren en mag daar geen nadeel van ondervinden.

    Ondubbelzinnig

    Toestemming geven moet een duidelijke actieve handeling zijn. Bijvoorbeeld een (digitale) schriftelijke of een mondelinge verklaring. Het moet in elk geval volstrekt helder zijn dát er toestemming is verleend.

    U mag niet uitgaan van stilzwijgende toestemming. Het gebruik van voor-aangevinkte vakjes is dus niet toegestaan.

    Geïnformeerd

    U moet consumenten informeren over:

    • De identiteit van de organisatie die het doel en de middelen van de verwerking van persoonsgegevens bepaalt. Dus van uw organisatie als die de verwerkingsverantwoordelijke is.
    • Het doel van elke verwerking waarvoor u toestemming vraagt.
    • Welke persoonsgegevens u verzamelt en gebruikt.
    • Het recht dat betrokkenen hebben om de toestemming weer in te trekken.

    U moet deze informatie in een toegankelijke vorm aanbieden en u moet duidelijke taal gebruiken. Zodat iemand de informatie begrijpt en een weloverwogen keuze kan maken.

    Specifiek

    Toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel.

    Let op: als betaaldienstverlener kunt u alleen toestemming vragen voor de toegang tot en het verwerken van persoonsgegevens die noodzakelijk zijn voor het aanbieden van uw betaaldienst.

    Intrekbaar

    Een consument heeft het recht om zijn toestemming ook weer in te trekken. Dat moet net zo gemakkelijk voor de consument zijn als het was om de toestemming te geven. Bijvoorbeeld via een pop-up. U moet een consument hierover informeren vóórdat hij toestemming geeft.

    Let op: het gevolg van het intrekken van een eerder gegeven toestemming is dat de consument geen gebruik meer kan maken van uw betaaldienst zoals hij of zij misschien gewend was. U mag de consument daar natuurlijk vooraf op wijzen.

    Verantwoordingsplicht

    U moet kunnen aantonen dat u op een geldige toestemming heeft gevraagd en gekregen wanneer de Autoriteit Persoonsgegevens daar om vraagt. Dit maakt onderdeel uit van uw verantwoordingsplicht onder de AVG.

  • Hoe moet ik als betaaldienstverlener om uitdrukkelijke toestemming vragen?

    U moet afzonderlijk van de andere onderdelen van de overeenkomst over de betaaldienst de consument vragen om toestemming voor toegang tot zijn of haar persoonsgegevens. U moet de manier waarop u toestemming vraagt daar dus op inrichten. Dat kan op verschillende manieren.

    Stilzwijgende toestemming of vragen in te stemmen met de algemene voorwaarden van uw betaaldienst voldoen niet.

    Apart van de andere onderdelen

    U moet er in elk geval voor zorgen dat de consument apart van de andere onderdelen van de overeenkomst uitdrukkelijk akkoord gaat met de toegang tot zijn of haar persoonsgegevens.

    In een digitale omgeving kan dat bijvoorbeeld in de vorm van een apart venster. Zoals een pop-up of een aan te vinken checkbox in een dialoog. Daarin kan de consument dan aangeven dat hij toestemming geeft voor toegang tot zijn of haar persoonsgegevens.

    Zonder toestemming geen overeenkomst

    Heeft u geen uitdrukkelijke toestemming gekregen? Dan zal dat tot gevolg hebben dat u de overeenkomst met de consument niet kan uitvoeren. Uiteraard mag u hier de consument bij het vragen van de toestemming op wijzen.

    Meer informatie over uitdrukkelijke toestemming

Alle antwoorden op mijn vragenOverige vragen van betaaldienstverleners over PSD2

Alle antwoorden op mijn vragenVragen van consumenten over betaaldienstverleners

Publicaties