Project PSD2-me-niet: terugblik en vooruitblik

Sinds 2017 volgen we de ontwikkelingen rondom PSD2 op de voet, waarbij we wijzen op de gevaren voor de privacy van consumenten. In het bijzonder richten wij ons op privacyvraagstukken die zich voordoen rond ‘account information service providers’ (AISP’s) en de mogelijkheden die PSD2 biedt om persoonsgegevens verder te verwerken.

PSD2MeNiet

Ons PSD2-project begon in 2017. Toen dachten we dat het verstrekken van meer adequate informatie en meer transparantie aan consumenten voldoende zou zijn. De risico’s van PSD2 bleken echter groter en fundamenteler. Daarom heeft Privacy First een tweetalige (Nederlandse & Engelse) website gelanceerd genaamd PSD2meniet.nl om zowel onze zorgen als onze oplossingen ten aanzien van PSD2 te schetsen.

Logo PSD2MeNiet banner

Centraal in ons project staat het filteren van bijzondere persoonsgegevens door het PSD2-me-niet register. Dit idee is op 7 januari 2019 door ons gelanceerd in het televisieprogramma Radar en in dit persbericht. Het PSD2-me-niet-register moet gebruikers daadwerkelijk een instrument geven waarmee zij hun eigen persoonsgegevens kunnen beschermen. Op termijn moet verdergaande filtering en beperking mogelijk worden. Met dit project draagt Privacy First bij aan positieve verbeteringen van PSD2 en de implementatie ervan, om zo een betere bescherming van persoonsgegevens te bereiken. Hierbij zijn we gesteund door het SIDN Fonds.

Bescherming van bijzondere persoonsgegevens

Privacy First heeft zich in dit project vooral gericht op ‘bijzondere persoonsgegevens’. Betalingen aan vakbonden, politieke partijen, religieuze organisaties of LHBT-belangenorganisaties, of betalingen aan medische dienstverleners. Maar ook betalingen aan het CJIB: ze onthullen delen van ons leven die extra beschermd moeten worden. Deze gegevens zijn direct te relateren aan fundamentele mensenrechten. Wanneer een consument een rekeninginformatiedienst gebruikt kunnen deze gegevens breder gedeeld worden. Door PSD2 kunnen gegevens, die nu beschermd zijn, via een omweg toch breed bekend worden, bijvoorbeeld doordat ze opgenomen worden in een profiel. Of omdat ze gebruikt worden als zwarte lijst.

De beste bescherming is voorkómen dat bijzondere persoonsgegevens worden verwerkt. We hebben daarom een PSD2-me-niet register opgezet en daaromheen een API, een privacyfilter. Met dit filter kan een AISP rekeningnummers detecteren en filteren en zo voorkomen dat bijzondere persoonsgegevens onnodig verwerkt of verstrekt worden. Bovendien wordt een consument geïnformeerd en krijgt deze een echte keuze om gegevens te delen of dat niet te doen.

Hoe nu verder?

Een groot deel van onze resultaten hebben we vervat in een Whitepaper. Deze is verstuurd aan stakeholders zoals de Europese Commissie, de European Data Protection Board (EDPB) en de Autoriteit Persoonsgegevens. En natuurlijk zoveel mogelijk AISP’s, want als zij de maatregelen overnemen beschermen zij privacy ‘by design’.  Onze Whitepaper bevat daarnaast een aantal andere voorbeelden hoe privacy beter te beschermen. Zoals de ‘good practices’ om betere transparantie over rekeninginformatiediensten te krijgen. We hopen dat AISP’s de adviezen in onze Whitepaper ter harte zullen nemen.

Onze API is opgenomen in een dienstverlener, Gatekeeper for Open Banking. We steunen hun doorontwikkeling en denken mee hoe het privacyfilter opgenomen kan worden in hun ontwerp en dienstverlening. Wanneer AISP’s de Gatekeeper gebruiken krijgen consumenten de regie over hun data die zij verdienen.

Met de Whitepaper en de API hebben we de instrumenten ontwikkeld en verspreid die gebruikt kunnen worden door AISP’s. De Europese Commissie evalueert de PSD2 pas vanaf 2022. Daarom zijn we blij dat we op deze manier onze gedachten hebben kunnen overdragen.

Privacy First blijft dit dossier monitoren. Onze website PSD2meniet.nl blijft in de lucht en zal een basis blijven voor dit onderwerp.

Heb je suggesties of wil je weten hoe het verder gaat? Laat het ons weten.