Short Reads

Autoriteit Persoonsgegevens adviseert negatief over Implementatiewet PSD2

Autoriteit Persoonsgegevens adviseert negatief over Implementatiewet PSD2

26.10.2017 NL law

Het wetsvoorstel Implementatiewet herziene richtlijn betaaldiensten ("Wet PSD2") voorziet in de wijziging van verschillende wetten (waaronder de Wet financieel toezicht (Wft) en het Burgerlijk Wetboek (BW)) en de nationale omzetting van Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG.

De richtlijn staat beter bekend als "Richtlijn PSD2".

De Minister van Financiën heeft het wetsvoorstel en de bijbehorende memorie van toelichting ("MvT") naar de Autoriteit Persoonsgegevens ("Autoriteit") gezonden, op verzoek. De Autoriteit heeft op eigen initiatief advies uitgebracht over het wetsvoorstel.

De Wet PSD2 biedt grondslag aan nieuwe soorten betaaldienstverleners om actief te worden op de Nederlandse markt, namelijk aan betaalinitiatiefdienstverleners en rekeninginformatiedienstverleners. Daarnaast worden in de Wet PSD2 nieuwe vergunningsvereisten geïntroduceerd en  zullen specifieke gegevensbeschermingsbepalingen in nog vast te stellen AMVB's worden opgenomen.

De Autoriteit adviseert om de Wet PSD2 pas bij de Tweede Kamer in te dienen nádat met haar opmerkingen rekening is gehouden. De Autoriteit acht het met name noodzakelijk om in de Wet PSD2 de verhouding (met andere woorden: voorrang) tussen de Algemene Verordening Gegevensbescherming ("AVG") en de Wet PSD2 te laten zien.

Inhoud Wet PSD2

De Wet PSD2 ziet op de mogelijkheid van het actief worden voor nieuwe typen betaaldienstverleners op de Nederlandse markt. De Autoriteit merkt op dat de ontwikkeling van FinTech ("de inzet van technologie op financieel gebied") draait op financiële gegevens. Betaalgegevens en financiële gegevens kunnen kwalificeren als persoonsgegevens en in voorkomende gevallen gevoelige persoonsgegevens zijn.

De Autoriteit stelt dat het noodzakelijk is om technologie-neutrale formuleringen te hanteren in het de Wet PSD2, enerzijds om ruimte te bieden aan nieuwe initiatieven en ontwikkelingen en anderzijds privacy van betrokkenen te waarborgen.

Advies autoriteit

De belangrijkste bevindingen van de Autoriteit omtrent de Wet PSD2 zien op de verhouding  tot de AVG en toezicht en handhaving.

Verhouding tot de algemene verordening gegevensbescherming

Het is volgens de Autoriteit onvoldoende duidelijk dat de AVG bij strijdigheid en inconsistenties voorrang heeft op de  wetgeving van lagere orde, zoals de Wet PSD2. 

De Wet PSD2 vormt de implementatie van de Richtlijn PSD2, die naar de (oude) Privacyrichtlijn verwijst. De Autoriteit stelt dat ten tijde van het opstellen van de Richtlijn PSD2 de AVG wellicht geen voorzienbare context was. Nu de AVG inmiddels van kracht is geworden dient volgens de Autoriteit in de Wet PSD2 (althans de MvT) duidelijk gemaakt te worden dat in geval van samenloop of inconsistenties tussen de Richtlijn PSD2 en de AVG, de AVG voorrang heeft.

In de MvT van het Wetsvoorstel is specifiek een verwijzing naar overweging 107 van de AVG opgenomen. De Autoriteit wijst erop dat dit een onjuiste verwijzing is nu de genoemde uitgangspunten niet overeenkomen met de aangehaalde overweging. De Autoriteit verzoekt uitdrukkelijk om deze passage te verwijderen en stelt dat het: "onwenselijk is om middels een (sectorspecifiek) wetsvoorstel invulling te geven aan de AVG, nu immers de beoogde uniformiteit in de toepassing van de AVG dient te worden gerespecteerd."

Toezicht en handhaving

In de Wet PSD2 wordt De Nederlandse Bank ("DNB") belast met het toezicht op de gegevensbescherming van betaaldienstverleners. De Autoriteit stelt dat dit valt onder háár toezicht. Gelet op de voornoemde voorrang kan de Autoriteit nimmer gebonden zijn aan een rechtsoordeel van DNB over de naleving van de AVG. De Autoriteit stelt dat zij "te allen tijde bevoegd [blijft] om een onafhankelijke oordeel te vormen, uitleg te geven, toezicht te houden en handhavend op te treden."

Gegevensbeschemingseffectbeoordeling

Ten slotte merkt de Autoriteit op dat het verrichten van een gegevensbeschemingseffectbeoordeling (of: Privacy Impact Assessment) noodzakelijk kan zijn voordat gestart wordt met de verwerking van persoonsgegevens.

Het kan zijn dat de Autoriteit voorafgaand aan de verwerking van persoonsgegevens geraadpleegd dient te worden indien uit de beoordeling zou blijken dat verwerking een hoog risico voor de rechten en vrijheden van natuurlijke personen oplevert en geen maatregelen worden genomen om dit risico te beperken. Derhalve stelt de Autoriteit dat het in de rede ligt om hieromtrent nadere afspraken te maken met de in de Wet PSD2 genoemde bevoegde toezichthouders en de Autoriteit zelf. De Autoriteit adviseert dit tevens te verwerken in de Wet PSD2 of de toelichting daarop.

Wet PSD2 niet indienen

Kortom: de Autoriteit adviseert deze door haar gedane opmerkingen te verwerken in het Wetsvoorstel alvorens het Wetsvoorstel wordt ingediend.

Vervolgtraject

Begin oktober van dit jaar heeft de Afdeling Bestuursrechtspraak van de Raad van State geadviseerd de Wet PSD2 ter behandeling aan de Tweede Kamer te zenden. De Autoriteit heeft aangegeven binnen enkele weken wetgevingsadvies over de aanvullende AMVB uit te zullen brengen.

De uiterste implementatiedatum voor de PSD2 is 13 januari 2018.

Dit  is geschreven met hulp van Anne de Heijde.

Team

Related news

25.10.2017 NL law
Ontwerpwet Generieke Digitale Infrastructuur voor advies naar de Autoriteit Persoonsgegevens

Short Reads - Met de ontwerpwet Generieke Digitale Infrastructuur ("Wet GDI") wordt beoogd dat burgers de beschikking krijgen over elektronische identificatiemiddelen ("eID") met een hoger betrouwbaarheidsniveau dan het huidige DigiD. Tegelijkertijd krijgen publieke dienstverleners meer zekerheid over de identiteit de burger aan wie zij die diensten verlenen.

Read more

23.10.2017 NL law
OTC-Derivaten en de ISDA Master Agreement - (hoe) werkt het naar Nederlands recht? (deel 1)

Articles - De meeste over-the-counter (OTC) derivaten worden aangegaan onder een ISDA Master Agreement. Eén van de voornaamste doelen van de Master Agreement is de beheersing van het kredietrisico dat partijen over en weer op elkaar lopen. De bepalingen betreffende vervroegde beëindiging en afwikkeling van transacties behoren tot de kernbepalingen van de Master Agreement.

Read more

Our website uses cookies: third party analytics cookies to best adapt our website to your needs & cookies to enable social media functionalities. For more information on the use of cookies, please check our Privacy and Cookie Policy. Please note that you can change your cookie opt-ins at any time via your browser settings.

Privacy and Cookie Policy