Short Reads

Autoriteit Persoonsgegevens adviseert negatief over Implementatiewet PSD2

Autoriteit Persoonsgegevens adviseert negatief over Implementatiewet P

Autoriteit Persoonsgegevens adviseert negatief over Implementatiewet PSD2

26.10.2017 NL law

Het wetsvoorstel Implementatiewet herziene richtlijn betaaldiensten ("Wet PSD2") voorziet in de wijziging van verschillende wetten (waaronder de Wet financieel toezicht (Wft) en het Burgerlijk Wetboek (BW)) en de nationale omzetting van Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG.

De richtlijn staat beter bekend als "Richtlijn PSD2".

De Minister van Financiën heeft het wetsvoorstel en de bijbehorende memorie van toelichting ("MvT") naar de Autoriteit Persoonsgegevens ("Autoriteit") gezonden, op verzoek. De Autoriteit heeft op eigen initiatief advies uitgebracht over het wetsvoorstel.

De Wet PSD2 biedt grondslag aan nieuwe soorten betaaldienstverleners om actief te worden op de Nederlandse markt, namelijk aan betaalinitiatiefdienstverleners en rekeninginformatiedienstverleners. Daarnaast worden in de Wet PSD2 nieuwe vergunningsvereisten geïntroduceerd en  zullen specifieke gegevensbeschermingsbepalingen in nog vast te stellen AMVB's worden opgenomen.

De Autoriteit adviseert om de Wet PSD2 pas bij de Tweede Kamer in te dienen nádat met haar opmerkingen rekening is gehouden. De Autoriteit acht het met name noodzakelijk om in de Wet PSD2 de verhouding (met andere woorden: voorrang) tussen de Algemene Verordening Gegevensbescherming ("AVG") en de Wet PSD2 te laten zien.

Inhoud Wet PSD2

De Wet PSD2 ziet op de mogelijkheid van het actief worden voor nieuwe typen betaaldienstverleners op de Nederlandse markt. De Autoriteit merkt op dat de ontwikkeling van FinTech ("de inzet van technologie op financieel gebied") draait op financiële gegevens. Betaalgegevens en financiële gegevens kunnen kwalificeren als persoonsgegevens en in voorkomende gevallen gevoelige persoonsgegevens zijn.

De Autoriteit stelt dat het noodzakelijk is om technologie-neutrale formuleringen te hanteren in het de Wet PSD2, enerzijds om ruimte te bieden aan nieuwe initiatieven en ontwikkelingen en anderzijds privacy van betrokkenen te waarborgen.

Advies autoriteit

De belangrijkste bevindingen van de Autoriteit omtrent de Wet PSD2 zien op de verhouding  tot de AVG en toezicht en handhaving.

Verhouding tot de algemene verordening gegevensbescherming

Het is volgens de Autoriteit onvoldoende duidelijk dat de AVG bij strijdigheid en inconsistenties voorrang heeft op de  wetgeving van lagere orde, zoals de Wet PSD2. 

De Wet PSD2 vormt de implementatie van de Richtlijn PSD2, die naar de (oude) Privacyrichtlijn verwijst. De Autoriteit stelt dat ten tijde van het opstellen van de Richtlijn PSD2 de AVG wellicht geen voorzienbare context was. Nu de AVG inmiddels van kracht is geworden dient volgens de Autoriteit in de Wet PSD2 (althans de MvT) duidelijk gemaakt te worden dat in geval van samenloop of inconsistenties tussen de Richtlijn PSD2 en de AVG, de AVG voorrang heeft.

In de MvT van het Wetsvoorstel is specifiek een verwijzing naar overweging 107 van de AVG opgenomen. De Autoriteit wijst erop dat dit een onjuiste verwijzing is nu de genoemde uitgangspunten niet overeenkomen met de aangehaalde overweging. De Autoriteit verzoekt uitdrukkelijk om deze passage te verwijderen en stelt dat het: "onwenselijk is om middels een (sectorspecifiek) wetsvoorstel invulling te geven aan de AVG, nu immers de beoogde uniformiteit in de toepassing van de AVG dient te worden gerespecteerd."

Toezicht en handhaving

In de Wet PSD2 wordt De Nederlandse Bank ("DNB") belast met het toezicht op de gegevensbescherming van betaaldienstverleners. De Autoriteit stelt dat dit valt onder háár toezicht. Gelet op de voornoemde voorrang kan de Autoriteit nimmer gebonden zijn aan een rechtsoordeel van DNB over de naleving van de AVG. De Autoriteit stelt dat zij "te allen tijde bevoegd [blijft] om een onafhankelijke oordeel te vormen, uitleg te geven, toezicht te houden en handhavend op te treden."

Gegevensbeschemingseffectbeoordeling

Ten slotte merkt de Autoriteit op dat het verrichten van een gegevensbeschemingseffectbeoordeling (of: Privacy Impact Assessment) noodzakelijk kan zijn voordat gestart wordt met de verwerking van persoonsgegevens.

Het kan zijn dat de Autoriteit voorafgaand aan de verwerking van persoonsgegevens geraadpleegd dient te worden indien uit de beoordeling zou blijken dat verwerking een hoog risico voor de rechten en vrijheden van natuurlijke personen oplevert en geen maatregelen worden genomen om dit risico te beperken. Derhalve stelt de Autoriteit dat het in de rede ligt om hieromtrent nadere afspraken te maken met de in de Wet PSD2 genoemde bevoegde toezichthouders en de Autoriteit zelf. De Autoriteit adviseert dit tevens te verwerken in de Wet PSD2 of de toelichting daarop.

Wet PSD2 niet indienen

Kortom: de Autoriteit adviseert deze door haar gedane opmerkingen te verwerken in het Wetsvoorstel alvorens het Wetsvoorstel wordt ingediend.

Vervolgtraject

Begin oktober van dit jaar heeft de Afdeling Bestuursrechtspraak van de Raad van State geadviseerd de Wet PSD2 ter behandeling aan de Tweede Kamer te zenden. De Autoriteit heeft aangegeven binnen enkele weken wetgevingsadvies over de aanvullende AMVB uit te zullen brengen.

De uiterste implementatiedatum voor de PSD2 is 13 januari 2018.

Dit  is geschreven met hulp van Anne de Heijde.

Related news

18.07.2019 NL law
ESMA publishes report on licencing of fintech firms across europe

Short Reads - On 12 July, the European Securities and Markets Authority ("ESMA") published a report on the status of licencing regimes of FinTech firms across the European Union ("EU").  The report is based on two surveys conducted by ESMA since January 2018, which gathered evidence from EU national competent authorities ("NCAs") on the licensing regimes of FinTech firms in their respective jurisdictions.

Read more

05.07.2019 EU law
The two sides of the ECS coin

Articles - The concept of ‘electronic communications service’ (“ECS”) defined in Article 2(c) of Directive 2002/21/EC (“Framework Directive”) has been interpreted in two decisions of the ECJ in June 2019: C‑142/18 Skype communications and C-193/18 Google LLC.

Read more

15.07.2019 EU law
ICO to impose record-breaking fines for inadequate security measures and data breaches

Short Reads - Though the European data protection authorities have taken their time in enforcing the GDPR, two announcements by the ICO in the UK regarding proposed fines for British Airways and Marriott demonstrate that large fines are about to start landing regularly. Both of the substantial fines are to be handed out as a result of shortcomings in handling data breaches caused by cyber-attacks.

Read more

01.07.2019 NL law
Dutch government publishes plans to combat money laundering

Short Reads - The Dutch Minister of Finance and Minister for Justice and Security published a joint letter today (1 July 2019) that they sent to the Dutch Parliament containing plans to combat money laundering (click here to read the letter in full, in Dutch). These new plans follow recent scrutiny in the Netherlands and Europe relating to money laundering. Some of the plans are far reaching, and will lead to practical implications for our clients if these plans are transposed into Dutch law.

Read more

05.07.2019 NL law
Consultation to extend shareholder notification obligations

Short Reads - Stibbe has taken part in the public consultation concerning the draft Act on the extension of substantial holding notification obligations, which was commissioned by the Dutch Minister of Finance.​ In its consultation response, Stibbe objected to the draft bill and recommended it be abandoned.

Read more

27.06.2019 NL law
Stibbe launches website about Digital Economy

Inside Stibbe - Stibbe's Digital Economy group published a new website this week: Stibbedigital.com With this new website we aim to view technological developments including artificial intelligence (AI), blockchain, the Internet of Things, smart mobility and the rise of digital platforms from a legal perspective.

Read more

Our website uses functional cookies for the functioning of the website and analytic cookies that enable us to generate aggregated visitor data. We also use other cookies, such as third party tracking cookies - please indicate whether you agree to the use of these other cookies:

Privacy – en cookieverklaring