De tweede Payment Service
Directive, ofwel PSD2, is de Europese richtlijn die regelt dat, naast banken,
nu ook andere betaaldiensten toegang kunnen krijgen tot de betaalgegevens van
gebruikers. Omdat deze betaalgegevens veelal gevoelige persoonsgegevens zullen omvatten,
is in de PSD2-richtlijn neergelegd dat bedrijven de uitdrukkelijke toestemming
voor de inzage van deze gegevens moeten verkrijgen van de betreffende
consumenten. Daarbij is grotendeels aansluiting gezocht bij de definitie van ‘uitdrukkelijke
toestemming’ als onder Algemene Verordening Gegevensbescherming (AVG).
De PSD2-richtlijn is inmiddels
in werking getreden maar is nog niet omgezet naar Nederlandse wetgeving. De
implementatiewetgeving is wel al goedgekeurd door de Tweede kamer en ligt voorts
bij de Eerste Kamer ter beoordeling. Naar aanleiding van de komende wetgeving
heeft de Autoriteit Persoonsgegevens (AP) nu een Q&A
op de website beschikbaar gesteld. Hierin wordt de verkrijging van
uitdrukkelijke toestemming voor betaaldiensten verder toegelicht.
Zo laat de AP weten dat in
beginsel de voorwaarde van uitdrukkelijke toestemming voor elke
betaaldienstverlener geldt. Dit kunnen banken zijn maar ook aanbieders van apps
die bijvoorbeeld een handig overzicht geven van verschillende betaalrekeningen.
Uitsluitend rekeninginformatiediensten, die enkel fungeren als huishoudboekje bijvoorbeeld,
behoeven geen expliciete toestemming te verkrijgen voor de verwerking van persoonsgegevens.
Wel moet de consument in dat geval uitdrukkelijk akkoord gaan met de
dienstverlening als zodanig en mag de dienstverlener de gegevens niet gebruiken
voor andere doelen dan ter uitvoering van de rekeninginformatiedienst.
Voor de overige betaaldiensten
geldt dat niet is toegestaan om ‘ergens’ in de overeenkomst op te nemen dat de
consument toestemming verleent aan de betaaldienst om zijn of haar
persoonsgegevens te verwerken. De AP stelt dat voor deze verwerking derhalve afzonderlijk,
naast eventuele andere onderdelen van de overeenkomst, expliciete toestemming
verkregen moet worden. Daarbij kan men denken aan een checkbox die de consument
moet aanvinken op een website.
Voorts moet de manier waarop door de consument
toestemming wordt gegeven vrij, ondubbelzinnig, geïnformeerd en specifiek zijn
en moet de consument in staat zijn deze toestemming (weer) in te trekken. Indien de consument
niet uitdrukkelijk akkoord is gegaan met de verwerking van persoonsgegevens, dan kan
de betaaldienst ook geen uitvoering geven aan de overeenkomst. Tot slot mag de betaaldienst enkel toestemming vragen voor de verwerking van persoonsgegevens die
noodzakelijk zijn voor het aanbieden van de betreffende betaaldienst.
https://www.solv.nl/weblog/de-ap-geeft-uitleg-over-expliciete-toestemming-onder-de-psd2/21652