Implementatiebesluit PSD2 niet in overeenstemming met de AVG
PSD2 (Payment Services Directive) is een herziene betaalrichtlijn die in 2018 van kracht wordt en die de oude betaalrichtlijn vervangt.
PSD2
De Autoriteit Persoonsgegevens (AP) heeft op verzoek van de minister van Financiën een advies gegeven over het ontwerp “Implementatiebesluit herziene richtlijn betaaldiensten”, PSD2. In dit advies heeft de AP gesteld dat het besluit niet op een juiste wijze rekening houdt met de Algemene verordening gegevensbescherming (AVG). De AP adviseert dan ook de ontwerpversie te herzien.
PSD2 (Payment Services Directive) is een herziene betaalrichtlijn die in 2018 van kracht wordt en die de oude betaalrichtlijn vervangt. Het doel van deze richtlijn is het bevorderen van innovatieve mobiele- en internetbetalingsdiensten en het consumentenrechten te versterken. Europese banken zijn vanaf dat moment verplicht om particuliere betaalrekeningen toegankelijk te maken voor bedrijven, mits klanten daarvoor toestemming hebben geven.
Ontwerp implementatiebesluit
Het ontwerp Implementatiebesluit stelt voor om het toezicht op de bescherming van persoonsgegevens binnen de PSD2, onder te brengen bij De Nederlandsche Bank (DNB). Art. 6, lid 2 Uitvoeringswet AVG (UAVG) wijst de AP echter aan als enige toezichthoudende autoriteit in de zin van de AVG. De AP is hiermee als enige toezichthouder verantwoordelijk voor de uitvoering van de samenwerking tussen toezichthoudende autoriteiten en voor de toetsing van de conformiteit van de toetsingskaders van verschillende autoriteiten.
De wetgever lijkt bij de omzetting van PSD2 op twee gedachten te hinken. Enerzijds lijkt onomstreden dat de AP ten volle toezicht houdt op de verwerking van persoonsgegevens in het kader van PSD2, anderzijds wordt de omzetting van artikel 94, tweede lid, van PSD2 opgenomen in een AMvB die de Wft als delegatiegrondslag heeft. In de Wft is de AP niet vermeld als toezichthouder. Dit heeft tot gevolg dat De Nederlandsche Bank (hierna: DNB) belast is met het toezicht op de verwerking van persoonsgegevens als bedoeld in het voorgestelde artikel 26e van het Bpr. DNB is evenwel in de Uitvoeringswet AVG niet aangewezen als toezichthoudende autoriteit in de zin van de AVG en neemt derhalve in Europees verband niet deel aan het hiervoor gememoreerde afstemmings- en coherentiemechanisme.
De AP pleit in haar advies voor een consistente toepassing van de regelgeving over gegevensbescherming en hiermee ook de gegevensbescherming in het kader van betalingsdiensten te beleggen bij de AP. Hiervoor, zo motiveert de AP, dient te worden voorzien in een toereikende en juiste wettelijke grondslag. Om iedere twijfel hierover weg te nemen adviseert de AP om een dergelijke grondslag op te nemen in de UAVG, die inhoudt dat de Autoriteit Persoonsgegevens toezichthouder is op de verwerking van persoonsgegevens, met inbegrip van verwerkingen in het kader van PSD2.