020 530 0160

De AP geeft uitleg over ‘expliciete toestemming’ onder de PSD2

Gepubliceerd op 22 oktober 2018 categorieën 

De tweede Payment Service Directive, ofwel PSD2, is de Europese richtlijn die regelt dat, naast banken, nu ook andere betaaldiensten toegang kunnen krijgen tot de betaalgegevens van gebruikers. Omdat deze betaalgegevens veelal gevoelige persoonsgegevens zullen omvatten, is in de PSD2-richtlijn neergelegd dat bedrijven de uitdrukkelijke toestemming voor de inzage van deze gegevens moeten verkrijgen van de betreffende consumenten. Daarbij is grotendeels aansluiting gezocht bij de definitie van ‘uitdrukkelijke toestemming’ als onder Algemene Verordening Gegevensbescherming (AVG).

De PSD2-richtlijn is inmiddels in werking getreden maar is nog niet omgezet naar Nederlandse wetgeving. De implementatiewetgeving is wel al goedgekeurd door de Tweede kamer en ligt voorts bij de Eerste Kamer ter beoordeling. Naar aanleiding van de komende wetgeving heeft de Autoriteit Persoonsgegevens (AP) nu een Q&A op de website beschikbaar gesteld. Hierin wordt de verkrijging van uitdrukkelijke toestemming voor betaaldiensten verder toegelicht.

Zo laat de AP weten dat in beginsel de voorwaarde van uitdrukkelijke toestemming voor elke betaaldienstverlener geldt. Dit kunnen banken zijn maar ook aanbieders van apps die bijvoorbeeld een handig overzicht geven van verschillende betaalrekeningen. Uitsluitend rekeninginformatiediensten, die enkel fungeren als huishoudboekje bijvoorbeeld, behoeven geen expliciete toestemming te verkrijgen voor de verwerking van persoonsgegevens. Wel moet de consument in dat geval uitdrukkelijk akkoord gaan met de dienstverlening als zodanig en mag de dienstverlener de gegevens niet gebruiken voor andere doelen dan ter uitvoering van de rekeninginformatiedienst.

Voor de overige betaaldiensten geldt dat niet is toegestaan om ‘ergens’ in de overeenkomst op te nemen dat de consument toestemming verleent aan de betaaldienst om zijn of haar persoonsgegevens te verwerken. De AP stelt dat voor deze verwerking derhalve afzonderlijk, naast eventuele andere onderdelen van de overeenkomst, expliciete toestemming verkregen moet worden. Daarbij kan men denken aan een checkbox die de consument moet aanvinken op een website.

Voorts moet de manier waarop door de consument toestemming wordt gegeven vrij, ondubbelzinnig, geïnformeerd en specifiek zijn en moet de consument in staat zijn deze toestemming (weer) in te trekken. Indien de consument niet uitdrukkelijk akkoord is gegaan met de verwerking van persoonsgegevens, dan kan de betaaldienst ook geen uitvoering geven aan de overeenkomst. Tot slot mag de betaaldienst enkel toestemming vragen voor de verwerking van persoonsgegevens die noodzakelijk zijn voor het aanbieden van de betreffende betaaldienst.

Bron: www.autoriteitpersoonsgegevens.nl
Deze blog is automatisch geïmporteerd uit een oudere versie van deze website. Daarom is de lay-out mogelijk niet perfect.
Deel:

auteur

Jesse

publicaties

Gerelateerde artikelen