Privacy First wil dat er een PDS2-me-niet-register komt waarmee burgers, net als bij het bel-me-niet-register, aangeven dat ze niet willen dat informatie over hun betaalverkeer wordt gedeeld. Volgens de belangenorganisatie schenkt nieuwe Europese wetgeving die later dit jaar van kracht moet worden onvoldoende aandacht aan de bescherming van bijzondere persoonsgegevens in transactiedata.
Belangenorganisatie Privacy First vindt dat de privacy van consumenten onvoldoende beschermd is binnen nieuwe Europese PSD2-wetgeving die in 2019 moet ingaan. Daarin staat dat financiële dienstverleners na goedkeuring van de consument betaalgegevens mogen delen.
Vanaf begin 2019 wordt in Nederland PSD2 van kracht (Payment Service Directive 2). Met die nieuwe Europese bankenwet delen consumenten hun bankgegevens met andere partijen dan hun eigen bank.
Het delen van de data is aan strenge regels gebonden. Zo moet de consument eerst uitdrukkelijke toestemming geven. Daarna moet de bank alle transactiedata van de consument (rekeninghouder) met een externe partij (financiële dienstverlener) delen voor een periode van negentig dagen, waarna de consument zijn toestemming kan vernieuwen. Volgens Privacy First zet die Europese PSD2-wetgeving de privacy echter onder druk.
Volgens de belangenorganisatie is de wet te veel gericht op het verbeteren van mededinging en innovatie en is het privacybelang van de rekeninghouders uit het oog verloren. Volgens de privacyclub bevatten betaalgegevens veel meer privacygevoelige informatie dan door de wetgever wordt aangenomen (zie kader). Bovendien worden ook gegevens van de tegenrekeninghouder gedeeld. Zo zijn ook de gegevens van personen die mogelijk niet hebben ingestemd met het delen van die data toch te doorzoeken als er grootschalige data-analyse plaatsvindt.
Opt-out, transparantie en privacy
De belangenorganisatie pleit voor een opt-out-register voor PSD2. Dat is vergelijkbaar met het bel-me-niet-register. Privacy First start een initiatief om met de financiële sector en politiek het gebruik van een opt-out-register verplicht te stellen. De Europese PSD2-richtlijn zal hiervoor aangepast moeten worden.
‘We willen dat consumenten eerlijk en transparant geïnformeerd worden over wat er met hun gegevens gebeurt. In plaats van lange privacy-statements pleiten we voor onafhankelijke informatie op een A4’tje, waarbij door consumenten vastgestelde informatie wordt geboden. Consumenten kunnen immers zelf het beste bepalen welke informatie zij waardevol vinden bij het maken van een keuze. Gedurende 2018 werkte Privacy First aan dit initiatief samen met de Volksbank en andere partners uit de financiële sector’, aldus een woordvoerder van Privacy First.
Privacy First is verbaasd dat er geen aandacht is geweest voor de rol van zogenoemde bijzondere persoonsgegevens in transactiedata. ‘Deze gegevens mogen alleen onder strikte voorwaarden gedeeld worden en moeten dus gefilterd kunnen worden. Ook consumenten die niet willen dat hun gegevens door anderen worden gedeeld met financiële dienstverleners moeten de mogelijkheid krijgen dit te voorkomen.’
Bezwaren van Privacy First tegen PDS2
- Consumenten kunnen de hoeveelheid bankgegevens niet beperken. Zelfs als een financiële dienstverlener deze gegevens niet nodig heeft, wordt na het geven van toestemming toch alle data gedeeld.
- In de bankgegevens van een consument staan ook de gegevens van andermans tegenrekening. Deze persoon weet niet dat zijn gegevens gedeeld worden en kan dit ook niet verhinderen. Doordat de transactiedata via big data en data-analyses veel breder geanalyseerd zullen worden dan voor de inwerkingtreding van PSD2, ontstaan grote risico’s op privacyschendingen.
- Bankgegevens bevatten ‘bijzondere persoonsgegevens’ die alleen onder strikte voorwaarden verwerkt mogen worden. Bijvoorbeeld: een contributiebetaling aan een vakbond, politieke partij of organisatie die seksuele voorkeur onthult, moet volgens Privacy First gezien worden als bijzonder (gevoelig) persoonsgegeven. Ook transacties met zorgverleners en apotheken moeten als bijzondere persoonsgegevens gelden. Op dit moment bestaat geen mogelijkheid deze gegevens te filteren en worden ze verstrekt aan partijen die deze gegevens niet mogen verwerken.
Een ‘Opt-In-register’ ligt uiteraard méér voor de hand dan een ‘Opt-Out-register’ zoals Privacy First voorstelt. Dan kunnen we ons alle discussies besparen.
Of zou de politiek eenzelfde trucje willen uithalen als met het donorregister?
Je kunt ook een voorbeeld nemen aan de Telecom markt. Als daar het rekeningnummer waar naar gebeld werd afgeschermd is, wordt dit op het gesprekkenoverzicht als een reeks * vermeld. Op dezelfde manier zou je tegenrekeningennummers kunnen opnemen in de overzichten als de tegenrekeninghouder niet expliciet toestemming heeft gegeven gegevensdeling volgens PSD2
Wat is het verschil in de analyse op die ‘andermans rekening’ ten opzichte van de huidige regelgeving? Nu zijn er toch ook bankkoppelingen en importmogelijkheden van grote hoeveelheden data?
Volgens mij zit de crux hem in die expliciete toestemming. Wanneer de commerciële partij niet duidelijk aan mij vraagt of hij analyse mag doen op de tegenrekeningen, dan mag hij dat niet toch? Of zie ik iets over het hoofd?