donatieknop english

PSD2-me-niet-register

Is innovatie met betaalgegevens mogelijk met behoud van privacy? PSD2 is de nieuwe Europese bankenwet waardoor betaalgegevens ook met niet-bancaire partijen gedeeld kunnen worden. De wetgever heeft echter verzuimd om privacy by design door te voeren. Stichting Privacy First neemt daarom het initiatief voor een PSD2-me-niet-register. Dit is een opt-out register waarmee rekeningnummers gefilterd kunnen worden. De use-cases zijn rekeningnummers van “bijzondere persoonsgegevens” zoals een betaling aan een vakbond, zorgverlener, politieke partij of organisatie die seksuele voorkeur onthult. En consumenten die hun tegenrekening gefilterd willen hebben. Het PSD2-me-niet-register kan richtinggevend worden op Europees niveau.

Bron: https://www.sidnfonds.nl/nieuws/de-eerste-pioniers-van-2019, 22 mei 2019.

Volg https://psd2meniet.nl voor updates en wordt alvast lid van ons PSD2 Privacy Panel!

Privacy First is voor al haar projecten en bijbehorende werkzaamheden grotendeels afhankelijk van donaties. Hoe meer financiële steun en donaties, hoe eerder Privacy First het PSD2-me-niet-register zal kunnen realiseren!

Gepubliceerd in Financiële privacy & PSD2
donderdag, 21 februari 2019 11:17

Privacy First lanceert PSD2 Privacy Panel

PSD2 in Nederland van kracht

Sinds deze week is PSD2 in Nederland van kracht: de nieuwe Europese bankenwet die onder meer mogelijk maakt dat bankgegevens ook door andere partijen verwerkt mogen worden. Dit brengt grote privacy-risico's met zich mee. Op 7 januari jl. was Privacy First daarom tafelgast bij het televisieprogramma Radar en zagen bijna 1,3 miljoen kijkers dat Privacy First een serieuze speler is in het debat over PSD2 en privacy. Hoeveel informatie zit verstopt in tien jaar rekeninginformatie denkt u? Inkomsten, uitgaven, lidmaatschappen, donaties, locaties? En welk profiel maakt een kredietbeoordelaar als die kijkt naar roodstand, relaties en onlineaankopen? Bij hoeveel partijen komen al die gegevens straks te liggen?

Uitdrukkelijke toestemming vraagt té veel van consument

De dataoverdracht van bank naar een andere financiële dienstverlener (fintech) mag alleen gebeuren met uw uitdrukkelijke toestemming en binnen de kaders van de wet, maar het is niet voor niets dat Privacy First aan dit dossier werkt!

Samen met de Volksbank, Betaalvereniging Nederland en andere partijen zetten we ons al een tijd in voor betere informatie en transparantie. De stem van bedrijven wordt gehoord, die van consumenten en kritische privacydenkers nauwelijks. Uit onderzoek van De Nederlandse Bank (DNB) blijkt dat 94 procent van de consumenten nog niet van PSD2 heeft gehoord en over het algemeen terughoudend is om een derde partij toegang tot zijn of haar rekening te geven. En dat terwijl de eerste licentieaanvragen van rekeninginformatie-dienstaanbieders al bij DNB liggen...

Neem deel aan ons PSD2 Privacy Panel 

Privacy First zet zich in voor eigen keuzes in een vrije omgeving. Daarom nodigen we u uit om deel te nemen aan ons nieuwe PSD2 Privacy Panel. We willen panelleden de komende tijd informeren en vragen om mee te denken over privacy-risico's. Doet u mee? Als u zich inschrijft kunt u een waardevolle bijdrage leveren aan diverse onderwerpen op het gebied van PSD2 en privacy. Bovendien: uw medewerking versterkt de boodschap van Privacy First!

U kunt zich via deze link opgeven voor het PSD2 Privacy Panel. U ontvangt een welkomstmail en hierna enkele informatieve mails over PSD2 en privacy-risico's. Vervolgens vragen we uw mening in een aantal enquêtes. Later dit jaar organiseren we een bijeenkomst over dit uiterst relevante thema.

We willen uw mening, niet uw privacy.

We hechten veel waarde aan uw privacy. Daarom hebben we een aantal maatregelen getroffen zodat u zo anoniem mogelijk kunt deelnemen. Bij voorkeur schrijft u zich in met een e-mailadres zonder herleidbare naam, organisatie of bedrijf erin. De mailings worden uitgevoerd met LaPosta, een Nederlands bedrijf dat al jaren serieus werk maakt van privacy en informatiebeveiliging. We hebben de omgeving zo ingesteld dat we uw gedrag niet kunnen volgen. En natuurlijk kunt u zich ieder moment uitschrijven.

Doet u mee?

Privacy First zet zich in voor de bescherming van privacy. Rondom PSD2 kunnen nog belangrijke verbeteringen gemaakt worden. U kunt op een eenvoudige manier bijdragen. Bovendien wordt u geïnformeerd over deze belangrijke wet, waarmee betalingsverkeer ingrijpend kan veranderen. Word daarom lid van het PSD2 Privacy Panel.

Alvast bedankt!

Gepubliceerd in Financiële privacy & PSD2

Nieuwe Europese wetgeving PSD2 in werking 

Vanaf begin 2019 wordt in Nederland PSD2 van kracht (Payment Service Directive 2). Met deze nieuwe Europese bankenwet kunnen consumenten hun bankgegevens delen met andere partijen dan hun eigen bank. Hiervoor moet de consument eerst uitdrukkelijke toestemming geven. Hierna moet de bank alle transactiedata[1] van de consument (rekeninghouder) met een externe partij (financiële dienstverlener) delen voor een periode van 90 dagen, waarna de consument zijn toestemming kan vernieuwen. Tevens kan de consument zijn toestemming op ieder moment intrekken.

PSD2 baart Privacy First grote zorgen

Privacy First heeft grote zorgen rond PSD2. De wet is teveel gericht op het verbeteren van mededinging en innovatie en het privacybelang van de rekeninghouders is uit het oog verloren. De grootste bezwaren van Privacy First zijn:

  • Consumenten kunnen de hoeveelheid bankgegevens niet beperken. Zelfs als een financiële dienstverlener deze gegevens niet nodig heeft, wordt na het geven van toestemming toch alle data gedeeld.
  • In de bankgegevens van een consument staan ook de gegevens van andermans tegenrekening. Deze persoon weet niet dat zijn gegevens gedeeld worden en kan dit ook niet verhinderen. Doordat de transactiedata via Big Data en data-analyses veel breder geanalyseerd zullen worden dan voor de inwerkingtreding van PSD2 ontstaan grote risico's op privacyschendingen.
  • Bankgegevens bevatten “bijzondere persoonsgegevens” die alleen onder strikte voorwaarden verwerkt mogen worden.[2] Een contributiebetaling aan een vakbond, politieke partij of organisatie die seksuele voorkeur onthult, moet volgens Privacy First gezien worden als bijzonder (gevoelig) persoonsgegeven. Ook transacties met zorgverleners en apotheken moeten als bijzondere persoonsgegevens worden gezien. Op dit moment bestaat geen mogelijkheid deze gegevens te filteren en worden ze verstrekt aan partijen die deze gegevens niet mogen verwerken.

Tijdens de uitzending van AVROTROS Radar van maandagavond 7 januari 2019 vroeg Privacy First nadrukkelijk aandacht voor deze zaken.

PSD2-keurmerk voor transparantie

Privacy First wil dat consumenten eerlijk en transparant geïnformeerd worden over wat er met hun gegevens gebeurt. In plaats van lange privacy-statements pleit Privacy First voor onafhankelijke informatie op één A4, waarbij door consumenten vastgestelde informatie wordt geboden. Consumenten kunnen immers zelf het beste bepalen welke informatie zij waardevol vinden bij het maken van een keuze. Gedurende 2018 werkte Privacy First aan dit initiatief samen met de Volksbank en andere partners uit de financiële sector.

PSD2-me-niet-register

Privacy First is verbaasd dat er geen aandacht is geweest voor de rol van “bijzondere persoonsgegevens” in transactiedata. Deze gegevens mogen alleen onder strikte voorwaarden gedeeld worden en moeten dus gefilterd kunnen worden. Ook consumenten die niet willen dat hun gegevens door anderen worden gedeeld met financiële dienstverleners moeten de mogelijkheid krijgen dit te voorkomen. Daarom wil Privacy First een opt-out register voor PSD2, vergelijkbaar met het bel-me-niet-register. Tijdens de uitzending van Radar kondigde Privacy First aan het initiatief voor dit voorstel te nemen, waarbij wij ernaar streven dit met de financiële sector en politiek verder te ontwikkelen. Het doel daarbij is dat het gebruik van een opt-out register verplicht wordt gesteld. De Europese PSD2-richtlijn zal hiervoor aangepast moeten worden.

[1] Aanvullende informatie: het gaat om alle transactiedata. Hoe ver deze gegevens terug gaan verschilt per bank. Zie het overzicht van de Consumentenbond: Meerderheid bewaart rekeningafschriften ten minste 5 jaar https://www.consumentenbond.nl/betaalrekening/meerderheid-bewaart-rekeningafschriften-ten-minste-5-jaar.

[2] Aanvullende informatie: dit is opgenomen in artikel 9 AVG en art. 22 UAVG. Kortgezegd is de verwerking van bijzondere persoonsgegevens verboden, tenzij. Zie https://wetten.overheid.nl/BWBR0040940/2018-05-25.

Gepubliceerd in Financiële privacy & PSD2

"Enkele Nederlandse banken en fintechs werken samen met Stichting Privacy First aan een PSD2-keurmerk. Daarmee willen de bedrijven aan consumenten duidelijk maken wie ze hun data kunnen toevertrouwen. De Volksbank schaart zich als een van de eersten achter het initiatief. Op welke behoefte spelen de betrokkenen in?

De Europese betaalrichtlijn PSD2 levert behalve innovatie ook privacyzorgen op. De in januari in werking getreden richtlijn – Nederland volgt waarschijnlijk deze zomer met eigen wetgeving – zorgt ervoor dat consumenten bedrijven toegang kunnen geven tot hun bankrekening en (financiële) data. De vraag is echter of zij doorhebben privacygevoelige gegevens te delen. Eenmaal gedeeld kunnen banken die data bovendien niet meer ‘terughalen’.

Behalve een voordeel kleeft er dus ook een reëel risico aan PSD2, stelt Privacy First. Samen met enkele Nederlandse banken en fintech-bedrijven werkt de belangenorganisatie daarom aan een keurmerk. De partijen reageren daarmee op een uitspraak van De Nederlandsche Bank. Die zou eerder hebben vastgesteld dat hier behoefte aan is. Terwijl de AVG, de nieuwe Europese privacywet, moet zorgen voor betere bescherming zet PSD2 de achterdeur open, legt Martijn van der Veen van Privacy First uit.

Hoe zien jullie PSD2 vanuit privacy-oogpunt?

Van der Veen: “Het onderwerp privacy is binnen PSD2 veel te lang onderbelicht gebleven. Lang was PSD2 vooral een feestje voor fintechs en gericht op het innoveren van het betalingsverkeer.

“Met PSD2 kunnen partijen onder meer inzage krijgen in je transactiegegevens, bijvoorbeeld voor het krijgen van inzicht over meerdere bankrekeningen heen. Een bank mag die transactiedata niet zomaar verstrekken, daarvoor moet een consument ‘uitdrukkelijke toestemming’ geven. Dat is niet eventjes een vinkje zetten. De persoon moet ‘vrije, specifieke en geïnformeerde’ toestemming geven. Op papier is het dan prima geregeld. Maar de impact van PSD2 op de privacy kan veel groter zijn dan de vraag of iemands toestemming is geregistreerd.

“Onze grootste zorg is wat er gebeurt met de gegevens zodra die bij een dienstverlener liggen. Wat doen die ermee? Denk maar niet dat diensten beperkt blijven tot het tonen van transactiegegevens, bedrijven willen iets doen met die grote hoeveelheid gegevens die in hun bezit komt. Denk aan het doen van aanbiedingen, nieuwe diensten en vergelijkingen. Daarvoor willen ze gegevens koppelen, relateren en zoeken naar patronen. En uiteraard zit daar ook een verdienmodel aan vast.

“Een verkeerde framing is dat het ‘maar’ transactiegegevens zijn. Je kunt er ontzettend veel uit afleiden over iemands leven. Als je bij een bank drie jaar terug kan kijken, dan ontvangt de aanbieder ook direct drie jaar aan transactiedata. Aan rekeningnummers kan je aflezen of iemand vaak medische ondersteuning gebruikt, waar een persoon vaak komt en wat iemands leefpatroon is. Uit terugkerende overboekingen leid je af of iemand lid is van een religieuze organisatie of vakbond. Dat zijn gegevens die met goede redenen niet gebruikt mogen worden.

“Het gekke is, waar iedereen vanwege de AVG zijn best doet om zijn privacybescherming op orde te krijgen zet PSD2 de achterdeur wagenwijd open.”

Maar waarom is een keurmerk nodig?

“Het Privacy Keurmerk PSD2 moet consumenten helpen bij hun keuze voor een aanbieder. Het geeft informatie over of de aanbieder goed met de persoonlijke gegevens om zal gaan en te vertrouwen is. Daarbij willen we de open normen van de wet inkleuren. Nu bepaalt een aanbieder wat een fatsoenlijke bewaartermijn van gegevens is. En hoe snel hij reageert op klachten. Het is maar de vraag of het belang van de consument dan voorop staat. Het keurmerk informeert consumenten en stimuleert aanbieders om het niveau van privacybescherming te verhogen. Voor beide partijen is dat waardevol omdat dit het vertrouwen in een dienstverlener verhoogt.” (...)

Lees verder bij Emerce.

Gepubliceerd in Financiële privacy & PSD2

Tijdens een persbijeenkomst over PSD2 is het Privacy keurmerk PSD2-initiatief gepresenteerd. Met het keurmerk moeten financiële aanbieders en fintechs worden gestimuleerd om de privacy van consumenten centraal te stellen.

Volksbank

Als je de eindjes met moeite aan elkaar kunt knopen, krijg je op den duur lichamelijke klachten, aldus twee Utrechtse huisartsen in het AD/Utrechts Nieuwsblad van 7 maart jl. Wie een gezond leven wil, moet daarom ook financieel gezond zijn. Grip hebben op je eigen financiën en alle gegevens die daarbij horen, past daarbij. Op beide gebieden biedt de Volksbank graag een helpende hand.

De nieuwe PSD2-wetgeving maakt de weg vrij voor betaalapps van nieuwe partijen. Banken hebben niet langer het alleenrecht op het aanbieden van betaaldiensten. Dat lijkt goed nieuws voor de consument. Maar er is ook een keerzijde. Een klant die zijn data deelt met zo’n nieuwe aanbieder moet er rekening mee houden dat hij privacygevoelige gegevens deelt. De bank kan deze gegevens niet meer terughalen, dus de consument staat er alleen voor als hij spijt heeft.

De Consumentenbond waarschuwde recentelijk dat er nu al uit commerciële motieven op grote schaal persoonlijke data worden verzameld. Met PSD2 gaat dit alleen maar toenemen. Uiteindelijk is 90 dagen toegang voldoende om een digitaal profiel op te stellen dat verhandeld kan worden. De Volksbank wil dat niet en vindt dat de data van de klant bij de bank veilig moet zijn: "Dat betekent dat we geen data van klanten verkopen, zowel op individueel als geaggregeerd niveau. Wij verdienen ons geld als bank en niet met het verkopen van data van onze klanten."

De Volksbank ziet het als haar taak om klanten in de nieuwe veranderde omgeving te helpen op een veilige en weloverwogen manier met de eigen data om te gaan. Door goed voor te lichten (gratis is nooit echt gratis) maar ook door zelf aanvullende maatregelen te nemen:

  • De hoofdschakelaar die het zelfbewustzijn vergroot; data delen wordt een weloverwogen beslissing. De hoofdschakelaar staat standaard op ‘uit’. Een klant die zijn data wil delen moet eerst de hoofdschakelaar omzetten, voordat hij de eerste keer opdracht aan de bank kan geven zijn data aan individuele partijen door te geven. Vervolgens moet de klant per partij ook apart opdracht geven. De klant kan per partij het delen van data tussentijds stopzetten. Of in één keer met de hoofdschakelaar, waarmee direct de toegang van alle partijen wordt gestopt.
  • Samen met Privacy First, andere banken, KPMG en fintechs wordt er een PSD2-keurmerk ontwikkeld. Hiermee komen deze organisaties tegemoet aan de oproep van DNB die constateert dat dit nog ontbreekt en er behoefte aan is. Bij ons weten zijn we het eerste land dat zich hiermee bezig houdt. Met het PSD2-keurmerk moet het voor consumenten in één keer duidelijk worden aan wie zij hun data wel/niet kunnen toevertrouwen. De Volksbank werkt hard aan de verdere ontwikkeling, zodat het gereed is zodra de Europese PSD2-richtlijn in Nederland van kracht wordt.

Privacy First

Stichting Privacy First steunt het Privacy Keurmerk bij PSD2. Privacy First ziet het graag uitgroeien tot een internationaal keurmerk met draagvlak bij banken, fintechs, aanbieders, toezichthouders en consumentenorganisaties.

PSD2 biedt voordelen maar helaas ook risico's voor de privacy van mensen. Mensen zijn méér dan consumenten. Privacy First betwijfelt of de in PSD2 genoemde maatregelen om de gegevens en daarmee privacy van mensen te beschermen afdoende zullen zijn. Zo steunt PSD2 voor de bescherming van persoonsgegevens erg op de nieuwe Algemene Verordening Gegevensbescherming (AVG). Deze verordening is momenteel nog niet van kracht en we weten nog niet welke effecten PSD2 in de praktijk zal hebben of hoe het toezicht eruit zal gaan zien. Veel organisaties zijn nog niet klaar om te voldoen aan alle eisen. Ze zullen echter niet wachten met het aanbieden van hun diensten. Ook toezichthouders zijn niet klaar om alle privacyaspecten te handhaven. Met PSD2 wil men gaan vliegen zonder dat de parachute is gecontroleerd.

We hopen dat het keurmerk financiële aanbieders en vooral fintechs stimuleert om verder te gaan en de consument als mens centraal te stellen. We willen dat de eisen van het keurmerk ieder jaar hoger worden. We willen dat aanbieders oog hebben voor de 'informatie achter de informatie':

  • Onthulling van gedrag en gegevens door anderen
  • Diensten met als achterliggend doel gegevens te verzamelen (oneigenlijke toepassing)
  • Het afleiden van gegevens, zoals transactiedata waaruit bijzondere persoonsgegevens afgeleid kunnen worden.

We roepen fintechs op verder te gaan met de mogelijkheden om gegevens te beperken. Denk aan het uitsluiten van transactiedata die kunnen wijzen op religie, politieke voorkeur en gezondheid. Maar ook beperking van de duur van de transactiedata.

 

Tevens gepubliceerd op https://www.privacy-web.nl/nieuws/privacy-keurmerk-psd2-initiatief-gepresenteerd.

Gepubliceerd in Financiële privacy & PSD2

Onze Partners

logo Voys Privacyfirst
logo greenhost
logo platfrm
logo AKBA
logo boekx
logo brandeis
 
banner ned 1024px1
logo demomedia
 
 
 
 
 
Pro Bono Connect logo 100
IIR banner

Volg ons via Twitter

twitter icon

Volg onze RSS-feed

rss icon

Volg ons op LinkedIn

linked in icon

Volg ons op Facebook

facebook icon