45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Betalingsverkeer

Keurmerk PSD2 op komst: ‘Privacy wordt anders een papieren werkelijkheid’

De Europese betaalrichtlijn PSD2 levert behalve innovatie ook privacyzorgen op. Samen met enkele Nederlandse banken en fintech-bedrijven werkt de belangenorganisatie Privacy First aan een keurmerk. Terwijl de AVG, de nieuwe Europese privacywet, moet zorgen voor betere bescherming zet PSD2 de achterdeur open, legt Martijn van der Veen van Privacy First uit.

“Met PSD2 kunnen partijen onder meer inzage krijgen in je transactiegegevens, bijvoorbeeld voor het krijgen van inzicht over meerdere bankrekeningen heen. Een bank mag die transactiedata niet zomaar verstrekken, daarvoor moet een consument ‘uitdrukkelijke toestemming’ geven. Dat is niet eventjes een vinkje zetten. De persoon moet ‘vrije, specifieke en geïnformeerde’ toestemming geven. Op papier is het dan prima geregeld. Maar de impact van PSD2 op de privacy kan veel groter zijn dan de vraag of iemands toestemming is geregistreerd.

“Onze grootste zorg is wat er gebeurt met de gegevens zodra die bij een dienstverlener liggen. Wat doen die ermee? Denk aan het doen van aanbiedingen, nieuwe diensten en vergelijkingen. Daarvoor willen ze gegevens koppelen, relateren en zoeken naar patronen. En uiteraard zit daar ook een verdienmodel aan vast.

“Een verkeerde framing is dat het ‘maar’ transactiegegevens zijn. Je kunt er ontzettend veel uit afleiden over iemands leven. Als je bij een bank drie jaar terug kan kijken, dan ontvangt de aanbieder ook direct drie jaar aan transactiedata. Aan rekeningnummers kan je aflezen of iemand vaak medische ondersteuning gebruikt, waar een persoon vaak komt en wat iemands leefpatroon is. Uit terugkerende overboekingen leid je af of iemand lid is van een religieuze organisatie of vakbond. Dat zijn gegevens die met goede redenen niet gebruikt mogen worden.

“Het gekke is, waar iedereen vanwege de AVG zijn best doet om zijn privacybescherming op orde te krijgen zet PSD2 de achterdeur wagenwijd open.”

...“Juist omdat de PSD2 erg steunt op de AVG hadden we graag gezien dat consumenten veel directer invloed konden uitoefenen op de historie van de transactiegegevens en het afschermen van bepaalde data waaruit bijzondere persoonsgegevens zijn af te leiden. Zodra iemand zijn toestemming intrekt hadden alle partijen die over gegevens beschikken deze automatisch moet wissen. Dit is nu nog niet het geval. Maar het lastige van privacywetgeving is dat bepaalde termen nu eenmaal nader ingevuld moeten worden. De wet kan niet alles regelen.

Als het gaat om privacy dreigt privacy een papieren werkelijkheid te worden, dat willen we met een keurmerk voorkomen.“Waar we naar streven is dat het ontbreken van een keurmerk als een dissatisfier werkt. Dit zal dus nadelig zijn voor het imago van zo’n onderneming. We willen de komende tijd nog meer consumentenorganisaties en belangenverenigingen aanhaken. Zij kunnen helpen om de normen vanuit hun achterban in te vullen. De tijd van innoveren en geld verdienen zonder oog te hebben voor privacy is nu echt voorbij.”

Alles bij de bron; Emerce


 

Vertrouwen in mobiel bankieren sterk gedaald

Het vertrouwen in de veiligheid van betalingen via een smartphone is in de EU sterk afgenomen. Bij 81 procent van de consumenten leeft de angst dat bankgegevens worden misbruikt voor frauduleuze doelen. Consumenten in Nederland zijn iets minder wantrouwig: 73 procent geeft aan bezorgd te zijn over fraude bij mobiel bankieren, een toename van 3 procent. Dat blijkt uit onderzoek van internationaal advocatenkantoor Osborne Clarke in acht Europese landen. 

Opvallend: vrijwel niemand is minder bezorgd geworden. Of het nu om mannen of vrouwen gaat, vijftigplussers of jongeren.

Onder Nederlanders zijn er in het afgelopen jaar wél significant meer zorgen ontstaan over de privacy omtrent privégegevens, als er in de toekomst niet meer met cash kan worden betaald. Twee op de drie geeft aan dat ze bang zijn dat er te veel persoonsgegevens worden gedeeld. Een stijging van 13 procent ten opzichte van het onderzoek een jaar eerder. Ook heeft de Nederlandse consument weinig vertrouwen in de datasecurity van banken. Bijna driekwart van de respondenten (73%) heeft zorgen over mogelijke datalekken waardoor privégegevens op straat komen te liggen.

Johannes de Jong, Head of Financial Regulatory bij Osborne Clarke; “... zorgen over mogelijke datalekken en oneigenlijk gebruik van klantgegevens, waaronder rekeninginformatie, zijn daarmee niet zomaar weg. Hoewel PSD2 en de aanstaande nieuwe Algemene verordening gegevensbescherming heel precies reguleren, is het aan bedrijven en instanties om de zorgen bij consumenten weg te nemen. Het actief en continu informeren over de manier waarop klantgegevens worden gebruikt en beschermd, is daarvoor cruciaal."

Alles bij de bron; ExecutivePPL


 

Meeste Zweden tegen volledig cashloze samenleving

De meeste Zweden zijn tegen een volledig cashloze samenleving, ook al weigeren steeds meer Zweedse winkels contant geld. Uit een onderzoek van Sifound, in opdracht van Bankomat AB, blijkt dat 68 procent van de ondervraagde Zweden cash als mogelijk betaalmiddel willen behouden. Slechts een kwart is voorstander van een volledig cashloze samenleving.

Bovendien groeit het verzet in Zweden tegen de rush naar een samenleving zonder contant geld. Critici wijzen onder meer op de grotere risico’s op fraude, hacks en de kwetsbaarheid die inherent is aan elke IT-infrastructuur. 

Björn Eriksson is leider van een groep genaamd Kontantupproret (Cashopstand). Volgens hem is het gevaarlijk om volledig cashloos te gaan. Wanneer een dergelijk digitaal systeem wordt aangevallen of uitgeschakeld is er geen betaalmethode om op terug te vallen. “Wie alleen over een digitaal systeem beschikt, stelt zichzelf bijzonder kwetsbaar op. Indien Rusland zou beslissen om Zweden binnen te vallen, zou het voldoende zijn om het Zweedse betalingssysteem uit te schakelen. Geen enkel ander land zou een dergelijk risico willen nemen en zou een analoog systeem als zekerheid willen.”

De Zweedse Piratenpartij waarschuwt dan weer voor de volledige traceerbaarheid van elke transactie. “Als je de controle over de servers van Visa of MasterCard hebt, heb je de controle over Zweden”, aldus voormalig parlementslid van de Piratenpartij Christian Engström.

Alles bij de bron; DataPanik


 

Privacy keurmerk PSD2 initiatief gepresenteerd

Tijdens een persbijeenkomst over PSD2 is het Privacy keurmerk PSD2-initiatief gepresenteerd. Met het keurmerk moeten financiële aanbieders en fintechs worden gestimuleerd om de privacy van consumenten centraal te stellen.

De nieuwe PSD2-wetgeving maakt de weg vrij voor betaalapps van nieuwe partijen. Banken hebben niet langer het alleenrecht op het aanbieden van betaaldiensten. Dat lijkt goed nieuws voor de consument. Maar er is ook een keerzijde. Een klant die zijn data deelt met zo’n nieuwe aanbieder moet er rekening mee houden dat hij privacygevoelige gegevens deelt. De bank kan deze gegevens niet meer terughalen, dus de consument staat er alleen voor als hij spijt heeft.

De Consumentenbond waarschuwde recentelijk dat er nu al uit commerciële motieven op grote schaal persoonlijke data worden verzameld. Met PSD2 gaat dit alleen maar toenemen. Uiteindelijk is 90 dagen toegang voldoende om een digitaal profiel op te stellen dat verhandeld kan worden. 

Het PSD2-keurmerk moet het voor consumenten in één keer duidelijk maken aan wie zij hun data wel/niet kunnen toevertrouwen. De Volksbank werkt hard aan de verdere ontwikkeling, zodat het gereed is zodra de Europese PSD2-richtlijn in Nederland van kracht wordt.

PrivacyFirst wil dat aanbieders oog hebben voor de 'informatie achter de informatie':

  • Onthulling van gedrag en gegevens door anderen
  • Diensten met als achterliggend doel gegevens te verzamelen (oneigenlijke toepassing)
  • Het afleiden van gegevens, zoals transactiedata waaruit bijzondere persoonsgegevens afgeleid kunnen worden.

We roepen fintechs op verder te gaan met de mogelijkheden om gegevens te beperken. Denk aan het uitsluiten van transactiedata die kunnen wijzen op religie, politieke voorkeur en gezondheid. Maar ook beperking van de duur van de transactiedata.

Alles bij de bron; PrivacyFirst


 

PSD2; Ook de visboer wil graag even bij je bankgegevens

De nieuwe zogenoemde PSD2-wetgeving is niet zonder risico’s. Banken verliezen het alleenrecht op toegang tot de betaalrekening. Acht vragen.

Sinds dit jaar geldt een nieuwe Europese richtlijn die de weg moet vrijmaken voor meer innovatie en concurrentie in de financiële sector, zodat consumenten goedkoper en sneller kunnen betalen. Banken verliezen het alleenrecht op toegang tot de betaalrekening.
 
1] Wat is PSD2?
De ‘Payment Service Directive’ is een soort juridische basis voor het girale betalingsverkeer. De belangrijkste verandering is dat bedrijven, nadat ze toestemming hebben gekregen, uitgaven van consumenten kunnen inzien of zelfs namens klanten kunnen betalen.
 

3] Hoe werkt het geven van toestemming?

Er wordt onderscheid gemaakt tussen twee soorten toegang tot betaalrekeningen. De eerste geldt alleen voor inzicht in je uitgaven en inkomsten en voor maximaal drie maanden. De andere soort toegang is om een bedrijf direct via een bankrekening te laten incasseren. Dan moet per transactie toestemming worden gegeven, of per reeks zoals bij een abonnement. Voor wie geen enkele partij toestemming geeft, verandert niks. Wie wél akkoord gaat en zich bedenkt, komt er bekaaid vanaf. Afmelden is niet juridisch geregeld.

5] Hoe zit het verder met de privacy?

Een bedrijf mag niet om meer informatie vragen dan nodig en gegevens niet gebruiken voor een ander doel dan waar ‘expliciete toestemming’ voor is gegeven. Zelfs voor het ongevraagd uitbrengen van financieel advies moet aparte toestemming worden gevraagd. Vliegt een bedrijf toch uit de bocht, dan kan de privacytoezichthouder Autoriteit Persoonsgegevens een boete uitdelen.

Hoe die ‘expliciete toestemming’ er precies uit zal zien, is voer voor juristen. Het is de bedoeling dat de vraag om toegang niet wordt verstopt in duizenden woorden aan algemene voorwaarden.

6] Welke derde partijen mogen allemaal toestemming vragen?

Partijen die een vergunning hebben gekregen van De Nederlandsche Bank, of een toezichthouder met zulke bevoegdheden in het buitenland. AFM waarschuwde eerder voor dubieuze financiële producten die een vergunning kregen van toezichthouders op Malta en Cyprus en daarmee legaal waren. Voorlopig is er overigens geen internationale en volledige lijst van bedrijven met toestemming om je betaalgegevens te vragen.

Alles bij de bron; NRC


 

Nog veel zorgen om Big Brother op de bankrekening

Binnenkort mogen andere bedrijven dan de bank meekijken op onze rekening. Dat ligt qua privacy erg gevoelig, en juist daarom moet dit aspect goed geregeld worden. Gebeurt dat ook? De zorgen zijn groot. ,,Er zijn te veel losse eindjes.''

Voor veel mensen is het een wezensvreemd idee: bankgegevens delen met derde partijen. Dat Jan en alleman - techbedrijfjes, financieel adviseurs, Google en Facebook - weten wat je betaalt, en aan wie. Dat deze partijen zelfs betalingen kunnen doen vanaf je bankrekening. Toch is het precies wat er kan gebeuren, als de Europese betalingsrichtlijn PSD2 ook in Nederland wordt ingevoerd. 

Maar dan moet het met de privacy wel goed zitten. Want hoe regelen we precies dat bedrijven de gegevens alleen krijgen als consumenten er echt - maar dan ook écht écht – toestemming voor hebben gegeven? En dat die consumenten echt – maar dan ook écht écht – weten waar ze precies toestemming voor geven? Dat luistert allemaal zeer nauw. ,,Als je hier als buitenstaander tegenaan kijkt, denk je: welke malloot heeft dit verzonnen?'', liet de Nijmeegse hoogleraar Bert Jacobs zich onlangs ontvallen. ,,Er zitten zoveel privacybezwaren aan. Brussel en Den Haag hebben echt zitten slapen.''

Alles bij de bron; AD


 

Privacytoezichthouder moet toezicht houden op delen klantgegevens door banken

De Autoriteit Persoonsgegevens is van mening dat het toezicht op de nieuwe richtlijn betaaldiensten bij zichzelf moet komen te liggen en niet bij De Nederlandsche Bank. De toezichthouder wil daarom dat de implementatiewetgeving wordt aangepast. De privacytoezichthouder schrijft dat in een advies over een deel van de voorgestelde regels die de Europese betaaldienstenrichtlijn, oftewel PSD2, om moeten zetten in Nederlands recht.

Die regels noemen nu nog De Nederlandsche Bank als toezichthouder op de bescherming van persoonsgegevens onder de nieuwe richtlijn. Volgens de AP is het beter om het volledige toezicht bij zichzelf neer te leggen, omdat de organisatie ook waakt over de toepassing van de Algemene verordening gegevensbescherming, die in mei van dit jaar van kracht wordt. Nederland zou de enige lidstaat zijn die het toezicht op de regels voor betaaldiensten onderbrengt bij twee instanties, aldus de AP in een brief aan de minister van Financiën.

De toezichthouder adviseert bovendien om de conceptregels voor implementatie te herzien, omdat deze niet altijd stroken met de eerdergenoemde privacyverordening. Zo maakt het implementatiebesluit, dat de vorm aanneemt van een AMvB, bijvoorbeeld onderscheid tussen persoonsgegevens en gevoelige betaalgegevens. Dit is volgens de Autoriteit Persoonsgegevens niet juist, omdat betaalgegevens ook gewoon onder de definitie van persoonsgegevens vallen.

Alles bij de bron; Tweakers


 

PSD2, wat een Europese blunder!

De PSD2 is de nieuwe Europese richtlijn voor betaaldiensten. Commerciële bedrijven kunnen dan gebruik maken van uw en mijn betaalgegevens. Ik maak mij, samen met vooral privacydeskundigen grote zorgen over de implementatie van de PSD2. Er zijn onvoldoende waarborgen ingebouwd om te voorkomen dat uw en mijn betalingsgegevens op straat komen te liggen. Daarbij zijn betaalgegevens bij uitstek privacygevoelig...

...Consumenten moeten weliswaar expliciet toestemming geven, maar daarmee is met name het probleem van het ontstaan van “lekken” niet opgelost. Het meest concreet wordt het ontstaan van “lekken" in de situatie dat ik (client A/Bank A) geen toestemming geef aan bedrijven tot het delen van transactiegegevens, maar mijn gegevens wel kunnen “weglekken” omdat ik een financiële transactie inzet naar een relatie (Client B/Bank B) omdat Client B wel volledige toestemming heeft gegeven aan bijvoorbeeld Google en Facebook.

Uit de reacties die ik nu heb ontvangen van stakeholders en betrokkenen merk ik dat tot nu toe niemand mij gerust heeft kunnen stellen. De reacties komen nog niet verder dan “goed punt, we houden het in de gaten.” Ga u maar gerust slapen, de PSD2 waakt wel over u. Ik blijf ondertussen liever wakker.

Alles bij de bron; AGConnect