Conceptbrief

[afzender]

[geadresseerde bank]

Betreft: gevolgen van PSD2 voor mijn bankrekening(en)

Mijn rekening(en): ***

Mijne dames en heren,

In deze brief deel ik u mee dat ik geen toestemming geef voor afgifte van mijn gegevens1 aan een rekeninginformatiedienstverlener.

Een en ander licht ik hierna toe.

Inleiding: PSD2

Zoals u weet is door Europa de ‘Payment Services Directive 2’ (PSD2) vastgesteld, op grond waarvan alle Europese landen hun financiële regelgeving dienen aan te passen. In Nederland zullen het Burgerlijk Wetboek (BW) en de Wet op het financieel toezicht (Wft) worden aangepast. Op grond van PSD2 zullen nieuwe vormen van dienstverlening worden gecreëerd, te weten de zgn. betaalinitiatiediensten en rekeninginformatiediensten. Een ‘betaalinitiatiedienst’ is de dienst voor het initiëren van een betalingsopdracht – op verzoek van de rekeninghouder (‘betalingsdienstgebruiker’) – met betrekking tot een betaalrekening die deze bij een andere betalingsdienstaanbieder (bijvoorbeeld een bank) aanhoudt. Onder ‘rekeninginformatiedienst’ wordt de online dienst verstaan voor het verstrekken van geconsolideerde informatie over een of meer betaalrekeningen die de rekeninghouder bij een of meerdere betalingsdienstaanbieders heeft lopen. Voor beide diensten is een vergunning nodig, die een Europees paspoort oplevert.

PSD2 schrijft voor dat de rekeninghouder toestemming moet geven alvorens zijn of haar gegevens aan een rekeninginformatiedienstverlener (‘RID’) wordt afgegeven. Dit voorschrift geldt niet alleen voor de rekeninghouder die van een RID gebruik wil maken (hierna: ‘de gebruiker’), maar ook voor de rekeninghouders (hierna: ‘derden’) wiens informatie (hierna: ‘derdeninformatie’) opgenomen is in de financiële transactiegegevens van de gebruiker.1 Of: “de gegevens van mijn organisatie” of “de gegevens van mijn bedrijf”.

1

Conceptbrief

De Wet bescherming persoonsgegevens (Wbp) en de Algemene Verordening Gegevensbescherming (AVG) zijn van toepassing op PSD2 en de regelgeving die in Nederland (en het buitenland) voortvloeit uit PSD2. Ook uit de Wbp en de AVG vloeit voort dat derdeninformatie niet aan een RID mag worden afgegeven zonder toestemming van de derden wiens derdeninformatie het betreft. Daarbij doet het niet terzake of de RID aan wie de derdeninformatie wordt afgegeven een partij is met een door een Europees land afgegeven vergunning.

Bij derdeninformatie kan worden gedacht aan: NAW van de derde, het rekeningnummer van de derde en de transactiegegevens (bedragen en omschrijvingen).

In dit verband merk ik nog op dat de beschreven gevolgen inzake derdeninformatie niet alleen relevant zijn voor consumenten. Ook bedrijven en organisaties kunnen er bezwaar tegen hebben dat hun derdeninformatie bij een RID terecht komt; vanwege vertrouwelijkheidsverplichtingen is het nog maar de vraag of zij zelf van een RID gebruik kunnen maken.

Tot slot wijs ik er op dat de verdienmodellen van veel digitaal opererende bedrijven (zoals Facebook, Google, Microsoft) er op gebaseerd zijn dat zij via hun eigen gebruikers informatie vergaren over derden, die zij vervolgens verrijken met gekochte informatie en die zij vervolgens verkopen. Als zij zich op de RID-markt begeven is er geen enkele zekerheid dat de door hen verworven derdeninformatie niet wordt doorverkocht. In dat verband attendeer ik op algemeen bekend gemaakte praktijken van bijvoorbeeld Google (die de complete inhoud van alle e-mail ontvangen en verstuurd per Gmail leest) en Facebook (die bij koop van Whatsapp verklaarde de gegevens niet naar zich toe te zullen halen en dat vervolgens wel deed) die zich pas aan afspraken of regels houden nadat hun niet-naleving publiek bekend is geworden. Verder attendeer ik op de vele datalekken bij gegevenshandelaren, een recent voorbeeld is het Equifax-schandaal.

Onder deze omstandigheden probeer ik2 er alles aan te doen om er voor te zorgen dat mijn betalingsgegevens niet in verkeerde handen terecht komen en reken ik er op dat uw bank er alles aan zal doen om onrechtmatig gebruik van mijn betalingsgegevens tegen te gaan.

Mijn mededelingen en verzoeken

Zoals gezegd verbied ik uw bank mijn (derden)informatie3 af te geven aan een door een andere gebruiker ingeschakelde rekeninginformatiedienstverlener, een en ander met onmiddellijke ingang en voor onbepaalde tijd. Graag ontvang ik een schriftelijke bevestiging van ontvangst van deze mededeling en dat u het verbod zult naleven.

Voorts verzoek ik u mij mee te delen welke technische en andere maatregelen u heeft genomen om te zorgen dat mijn derdeninformatie niet bij enige rekeninginformatiedienstverlener terecht komt. Tevens verzoek ik u mij te bevestigen dat voor zover er in strijd met het voorgaande toch op mij betrekking hebbende derdeninformatie aan een rekeninginformatiedienstverlener wordt verschaft, u mij daar over zult informeren met de volgende gegevens:

de naam van de gebruiker; de naam van de rekeninginformatiedienstverlener; de autoriteit die voormelde rekeninginformatiedienstverlener een vergunning heeft gegeven; de derdeninformatie die aan de rekeninginformatiedienstverlener is verschaft.

2 Bij een organisatie: “proberen wij”. En “onze betalingsgegevens”.3 Of “onze (derden)informatie”. Ook elders in dit deel van de tekst.

2

Conceptbrief

Graag verzoek ik u de ontvangst van deze brief schriftelijk te bevestigen en de hiervoor gevraagde mededelingen aan mij te doen.

Eventueel:

Om er zeker van te zijn dat deze brief u bereikt zend ik deze ook per aangetekende post.

Met vriendelijke groet,

[afzender]

3