Toon items op tag: Fintechs

Discussies over databescherming en privacy hebben vaak de praktijken van advertentiebedrijven zoals Google en Facebook als aanleiding. Ook zijn de activiteiten van geheime diensten en gelijksoortige instellingen (zoals NCTV) aanleiding voor aandacht en kritiek.

Grotendeels onder de radar is een ontwikkeling gaande naar algehele financiële surveillance, waarbij een aantal grote ondernemingen op basis van betaalgegevens burgers en organisaties in detail kan volgen. Het is een ontwikkeling die wordt aangemoedigd door de overheid en die zich door allerlei oorzaken verspreidt door de gehele samenleving, met grote databeschermingsrisico’s voor burgers.

Privacy First noemt dit financiële privacy en wil in de komende tijd meer aandacht aan dit onderwerp besteden, als wij daar de gelegenheid voor hebben. 

Wat is financiële privacy? 

Bij financiële privacy kan aan het volgende worden gedacht:

A. Betalingsverkeer

• Gedetailleerde financiële persoonsgegevens aanwezig bij banken en andere grote partijen. Het betalingsverkeer vindt grotendeels digitaal plaats, contante betaling verdwijnt. Daardoor beschikken degenen die bij dat betalingsverkeer betrokken zijn (banken, betaaldienstverleners en rekeninginformatiedienstverleners) over gedetailleerde informatie over al hun klanten, zowel consumenten als bedrijven en organisaties. Dit betekent dat banken c.s. zeer veel weten over hun klanten. De financiële gegevens worden door allerlei oorzaken steeds gedetailleerder en steeds meer bedrijven kunnen er over beschikken. Zo zal iDEAL 2.0 naar verwachting zorgen voor verdere verspreiding van financiële persoonsgegevens. In het verleden hebben banken geprobeerd de financiële gegevens van klanten te gelde te maken, op de manier waarop de Amerikaanse advertentiebedrijven dat doen, denk aan de ING-affaire. Daar is destijds een stokje voor gestoken, maar dit kan terugkomen. 
• Nieuwe PSD2-diensten. De Europese PSD2-regelgeving moest mogelijk maken dat er nieuwe diensten worden ontwikkeld rondom de financiële gegevens van klanten van betaalinstellingen, onder andere rekeninginformatiediensten. Aan databescherming is onvoldoende gedacht, zodat burgers risico lopen. Privacy First is al langer bezig met de campagne PSD2meniet.

• Contante betaling verdwijnt, waardoor de laatste mogelijkheid om niet van uur tot uur gevolgd te worden door banken verdwijnt. Het digitale geld dat door Europa wordt voorbereid, zal waarschijnlijk niet volledig anoniem zijn om misdaadbestrijding mogelijk te maken.

B. Privatisering van misdaadbestrijding en dienstverlening aan de overheid

• Misdaadbestrijdingstaken van banken en andere financiële instellingen (‘witwasbestrijding’): deze taken leiden er toe dat extra persoonsgegevens van burgers worden verzameld, dat betreft niet alleen het identificeren van natuurlijke personen, maar ook het verzamelen van gegevens over en van natuurlijke personen betrokken bij organisaties. Dit kan gaan over bestuurders en vertegenwoordigers van rechtspersonen en de ‘uiteindelijk belanghebbenden’. Er moeten vertrouwelijke gegevens door klanten met de financiële instellingen worden uitgewisseld, dit gebeurt vaak op een onveilige manier.
  Let op: het gaat hier niet alleen om misdaad die de klant of de financiële instelling kan benadelen. De instelling moet actief nagaan of de eigen klant misdaadgeld onder zich heeft en moet vermoedens van misdaad (‘ongebruikelijke transacties’) melden bij een onderdeel van de politie: FIU-Nederland.
  Europa is bezig met een pakket aan regelgeving, ook wel het ‘AML package’ genoemd, wat de misdaadbestrijdingstaken van bedrijven ingrijpend zal wijzigen. Als gevolg van nieuwe regelgeving zullen steeds meer financiële gegevens door ondernemingen met de overheid worden uitgewisseld.
• Identificatie, inclusief biometrische gegevens. Banken en andere financiële instellingen moeten hun klanten identificeren, allereerst om (privaatrechtelijk) te weten met wie zij een overeenkomst aangaan, ten tweede omdat de witwasbestrijdingsregels dit voorschrijven. Rondom de identificatie is het nodige te doen, onder andere omdat banken bestaande cliënten willen ‘heridentificeren’ en soms ook biometrische gegevens verlangen.
• UBO-register. Onderdeel van de misdaadbestrijdingstaken van banken en andere aangewezen ondernemingen, is dat zij de uiteindelijk belanghebbenden van hun klanten moeten vaststellen en de juistheid van de registratie van hun klanten bij het UBO-register moeten verifiëren. Privacy First heeft over het UBO-register geprocedeerd en is nu in afwachting van de uitkomst van gelijksoortige zaken die in behandeling zijn bij het Europese Hof van Justitie.
• Zwarte lijsten. In de financiële sector worden in het kader van de misdaadbestrijdingstaken en ter bescherming van de eigen financiële belangen zwarte lijsten aangelegd van ‘verdachte’ en veroordeelde klanten. Deze lijsten staan bekend onder de namen ‘IVR’ (intern verwijzingsregister) en ‘EVR’ (extern verwijzingsregister). De regels voor deze registers staat in ‘PIFI’, het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen.
  Verzekeraars hebben een compleet overzicht van alle claims die verzekerden bij hen hebben ingediend. In toenemende mate willen ook andere ondernemingen met misdaadbestrijdingstaken zwarte lijsten aanleggen.
• Gegevensleveringen aan de overheid (renseignering). Financiële instellingen, werkgevers en in de toekomst ook platforms zijn verplicht om gegevens te leveren aan de overheid. Dit wordt ook wel ‘renseignering’ genoemd. In het kader van de renseigneringsplicht worden vele vertrouwelijke gegevens verzameld bij de klanten. Een bijzonder voorbeeld is de verplichting van financiële instellingen om gegevens van klanten te verzamelen ten behoeve van de belastingheffing door andere landen. Zeer bekend is FATCA, de Amerikaanse wet op grond waarvan financiële instellingen in de hele wereld gratis diensten moeten verlenen aan de Amerikaanse belastingdienst, wat niet alleen fiscale inwoners van de VS en personen met bezittingen in of opbrengsten uit de VS omvat, maar ook iedereen die de Amerikaanse nationaliteit heeft (ook al ontbreken verdere banden met het land, zogeheten "accidental Americans"). Nederland heeft met de VS een FATCA-verdrag gesloten en neemt verder deel aan de ‘Common Reporting Standard’ (CRS), waarover verdragen met de EU-landen en andere landen zijn afgesloten. [1]

C. Overig

• Handelaren in financiële (persoons)gegevens: ten behoeve van financiële instellingen zijn een aantal zeer grote partijen actief, die bij het publiek minder bekend zijn. Zij verzamelen financiële en andere gegevens over zowel consumenten als over organisaties en de bij organisaties betrokken natuurlijke personen. Die gegevens worden verkocht aan onder andere financiële instellingen, als kredietinformatie en als witwasbestrijdingsinformatie. Hoewel deze handelaren zich aan de AVG moeten houden, doen zij dat meestal niet, zodat de mensen van wie gegevens verkocht worden niet op de hoogte zijn van de aanwezigheid van hun gegevens bij die handelaren en ook niet kunnen controleren of de gegevens rechtmatig zijn verkregen en juist zijn. Hun AVG-rechten kunnen zij niet uitoefenen. Dergelijke handelaren zouden volgens Privacy First vergunningplichtig moeten zijn, zoals financiële instellingen dat zijn, met een krachtige toezichthouder en strenge toetsing van de leidinggevenden.
• Bureau Kredietregistratie (BKR): dit is een door de overheid erkende en door de financiële sector opgerichte stichting die ten behoeve van die sector gegevens registreert.
  

Wat gaat Privacy First doen?

Financiële privacy is een breed en ingewikkeld terrein, wat het lastig maakt om er iets mee te doen. Privacy First is de afgelopen jaren al op een aantal deelonderwerpen actief geweest:

• PSD2
• UBO-register
• behoud van contant geld en anonieme betaalmiddelen.

We willen meer gaan doen. Wilt u meedoen of heeft u ideeën: laat het ons weten!

[1] Zie o.a. https://ellentimmer.com/2015/12/23/gegevensuitwisseling/.

Als NGO die zich inzet voor burgerrechten en privacybescherming houdt Privacy First zich al jaren bezig met financiële privacy. Sinds 2017 volgen we de ontwikkelingen rondom PSD2 op de voet, waarbij we wijzen op de gevaren voor de privacy van consumenten. In het bijzonder richten wij ons op privacyvraagstukken die zich voordoen rond ‘account information service providers’ (AISP’s) en de mogelijkheden die PSD2 biedt om persoonsgegevens verder te verwerken.

Ons PSD2-project begon in 2017. Toen dachten we dat het verstrekken van meer adequate informatie en meer transparantie aan consumenten voldoende zou zijn. De risico’s van PSD2 bleken echter groter en fundamenteler. Daarom heeft Privacy First een tweetalige (Nederlandse & Engelse) website gelanceerd genaamd PSD2meniet.nl om zowel onze zorgen als onze oplossingen ten aanzien van PSD2 te schetsen.

Centraal in ons project staat het filteren van bijzondere persoonsgegevens door het PSD2-me-niet register. Dit idee is op 7 januari 2019 door ons gelanceerd in het televisieprogramma Radar en in dit persbericht. Het PSD2-me-niet-register moet gebruikers daadwerkelijk een instrument geven waarmee zij hun eigen persoonsgegevens kunnen beschermen. Op termijn moet verdergaande filtering en beperking mogelijk worden. Met dit project draagt Privacy First bij aan positieve verbeteringen van PSD2 en de implementatie ervan, om zo een betere bescherming van persoonsgegevens te bereiken. Hierbij zijn we gesteund door het SIDN Fonds.

Bescherming van bijzondere persoonsgegevens

Privacy First heeft zich in dit project vooral gericht op ‘bijzondere persoonsgegevens’. Betalingen aan vakbonden, politieke partijen, religieuze organisaties of LHBT-belangenorganisaties, of betalingen aan medische dienstverleners. Maar ook betalingen aan het CJIB: ze onthullen delen van ons leven die extra beschermd moeten worden. Deze gegevens zijn direct te relateren aan fundamentele mensenrechten. Wanneer een consument een rekeninginformatiedienst gebruikt kunnen deze gegevens breder gedeeld worden. Door PSD2 kunnen gegevens, die nu beschermd zijn, via een omweg toch breed bekend worden, bijvoorbeeld doordat ze opgenomen worden in een profiel. Of omdat ze gebruikt worden als zwarte lijst.

De beste bescherming is voorkómen dat bijzondere persoonsgegevens worden verwerkt. We hebben daarom een PSD2-me-niet register opgezet en daaromheen een API, een privacyfilter. Met dit filter kan een AISP rekeningnummers detecteren en filteren en zo voorkomen dat bijzondere persoonsgegevens onnodig verwerkt of verstrekt worden. Bovendien wordt een consument geïnformeerd en krijgt deze een echte keuze om gegevens te delen of dat niet te doen.

Hoe nu verder?

Een groot deel van onze resultaten hebben we vervat in een Whitepaper. Deze is verstuurd aan stakeholders zoals de Europese Commissie, de European Data Protection Board (EDPB) en de Autoriteit Persoonsgegevens. En natuurlijk zoveel mogelijk AISP’s, want als zij de maatregelen overnemen beschermen zij privacy ‘by design’.  Onze Whitepaper bevat daarnaast een aantal andere voorbeelden hoe privacy beter te beschermen. Zoals de ‘good practices’ om betere transparantie over rekeninginformatiediensten te krijgen. We hopen dat AISP’s de adviezen in onze Whitepaper ter harte zullen nemen.

Onze API is opgenomen in een dienstverlener, Gatekeeper for Open Banking. We steunen hun doorontwikkeling en denken mee hoe het privacyfilter opgenomen kan worden in hun ontwerp en dienstverlening. Wanneer AISP’s de Gatekeeper gebruiken krijgen consumenten de regie over hun data die zij verdienen.

Met de Whitepaper en de API hebben we de instrumenten ontwikkeld en verspreid die gebruikt kunnen worden door AISP’s. De Europese Commissie evalueert de PSD2 pas vanaf 2022. Daarom zijn we blij dat we op deze manier onze gedachten hebben kunnen overdragen.

Privacy First blijft dit dossier monitoren. Onze website PSD2meniet.nl blijft in de lucht en zal een basis blijven voor dit onderwerp.

Heb je suggesties of wil je weten hoe het verder gaat? Laat het ons weten via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.!

Consumenten zullen beter geïnformeerd worden over rekeninginformatiediensten. Het Maatschappelijk Overleg Betalingsverkeer publiceerde daartoe recentelijk ‘good practices’ voor betere informatie. Privacy First is blij met de gepubliceerde ‘good practices’ en roept MOB-leden op om hier echt werk van te gaan maken. 

Het Maatschappelijk Overleg Betalingsverkeer (MOB) is in 2002 opgericht door de minister van Financiën met als opdracht bij te dragen aan de maatschappelijk efficiënte inrichting van het betalingsverkeer. DNB zit het MOB voor en verzorgt het secretariaat. Rekeninginformatiediensten zijn diensten waarmee een 'geconsolideerde weergave' van iemands betaalgegevens gemaakt kan worden. Dit kan sinds de inwerkingtreding van PSD2 (Payment Service Directive 2), die mogelijk maakt dat je je betaalgegevens deelt met andere partijen dan je eigen bank. Een voorbeeld hiervan is een digitaal huishoudboekje, maar ook andere vormen zijn mogelijk.

Betere informatie hard nodig

Als je je toestemming aan een aanbieder geeft, krijgt deze toegang tot alle transactiegegevens die je in je eigen bankomgeving ook ziet. Als je bij je eigen bank tot tien jaar terug kunt kijken, dan kan de rekeninginformatiedienst dat dus ook. Je deelt daarmee een compleet profiel aan data.

Het delen van data is niet zonder risico. De winst voor veel rekeninginformatiedienstverleners zit namelijk niet in het digitale huishoudboekje, maar in aanvullende diensten die geleverd kunnen worden. Denk aan analyses naar vaste lasten, risicoanalyses bij het aanvragen van een hypotheek of het beoordelen van kredietwaardigheid.

Omdat het gaat over veel vertrouwelijke gegevens moeten consumenten goed begrijpen waar ze toestemming voor geven. De informatie die consumenten nu krijgen is te veel en te onduidelijk. Wettelijk verplichte informatie is te lang, lastig te lezen en weggestopt in lange privacy-statements.

MOB publiceert good practices rekeninginformatiediensten

De roep om betere informatie klonk al een tijd. Vanaf eind 2017 was Privacy First betrokken bij een initiatief van de Volksbank om consumenten beter te informeren over rekeninginformatiediensten. Dit initiatief werd vervolgens overgenomen door de Betaalvereniging Nederland en vanaf mei 2019 door het MOB.

Het MOB stemde afgelopen mei in met good practices. Dit zijn zeven gestandaardiseerde vragen aan rekeninginformatiedienstverleners om te beantwoorden voordat een consument toestemming geeft. De vragen bevatten de belangrijkste (wettelijke) informatie én ze geven antwoord op de belangrijkste vragen van consumenten. Daarnaast heeft het MOB een uitwerking met toelichting opgesteld. De vragen zijn:

1. Wie vraagt toegang tot mijn rekeninginformatie? Hoe is de dienst gereguleerd?
2. Welke dienst biedt <naam van de aanbieder> aan waar mijn data voor nodig is?
3. Welke gegevens van mijn rekening gaat <naam van de aanbieder> gebruiken?
4. Waarvoor gebruikt <naam van de aanbieder> de gegevens nog meer?
5. Welke gegevens gaan naar derden en waarvoor?
6. Hoe kan ik mijn eerder gegeven toestemming terugdraaien?
7. Waar is verdere informatie te vinden?

Oppassen dat het niet vrijblijvend blijft

De good practices van het MOB zijn een hele goede stap. Nu komt het aan op het toepassen en benutten van deze good practices. Het gebruik van de good practices is helaas vrijblijvend. “Het MOB kan aanbieders van rekeninginformatiediensten niet verplichten om gehoor te geven aan de good practice. Wel hebben de MOB-leden afgesproken de best practice onder de aandacht te brengen bij hun achterban.” Gezien het krachtenveld van het MOB, waar zowel aanbieders als gebruikers in zitten, is dat te begrijpen. Maar het wordt oppassen dat de good practices niet té vrijblijvend worden. De belangen van aanbieders en consumenten gaan hand in hand.

Eind 2021 zal het MOB inventariseren of aanbieders de good practices hanteren en rapporteert hierover in de mei vergadering van 2022.

Privacy First wil niet wachten

Privacy First roept de leden van het MOB op de good practices in praktijk te brengen. Bescherming van burgers door hen als consumenten betere informatie en keuzes te geven is immers in ieders belang.

Privacy First is positief over het resultaat van het MOB. De zeven vragen en de gestandaardiseerde antwoorden kunnen een hele verbetering zijn ten opzichte van de huidige situatie. Tegelijk vinden we dat de lat hoger gelegd mag worden. Hoe zou het MOB de good practices beter onder de aandacht kunnen brengen?

• Het MOB kan haar leden en relevante derde partijen oproepen de good practices te gaan gebruiken, in plaats van alleen de mogelijkheid te bieden.
• De MOB-leden kunnen zich ieder voor zich uitspreken vóór gebruik van de good practices en gebruik ervan als voorwaarde stellen voor samenwerking.
• Het MOB kan duidelijk maken wie de relevante MOB-partijen zijn die een rol kunnen spelen bij het verspreiden van de good practices.
• Het MOB kan explicieter zijn over het moment waarop een consument wordt geïnformeerd via de good practices. Privacy hoort thuis "in de klantreis"; deze good practices mogen dus niet weggestopt worden.
• Het MOB kan in plaats van eenmaal te beoordelen of de good practices worden ingezet, dit vaker, bijvoorbeeld ieder kwartaal doen.
• Het MOB kan aanbieders in Europa alvast een brief sturen, zodat ze weten hoe Nederlandse consumenten denken mochten ze plannen maken om diensten in Nederland te gaan aanbieden.

Privacy First vindt dat het MOB bij de uitrol en toepassing aan zet is. Maar Privacy First onderzoekt ook of zij zelf een rol kan spelen om aanbieders gebruik te laten maken van de good practices.

Meer informatie:

• Link naar het bericht van het MOB (zie laatste alinea voor het stuk over de rekeninginformatiediensten)
• Link naar het document Good practice transparantie rekeninginformatiedienstverlening in Nederland (DOCX, 75,6 kB)
• Link naar de Toelichting good practice rekeninginformatiedienstverlening in Nederland (DOCX, 70,6 kB)
  

Dit bericht verscheen eerder op onze PSD2-campagnewebsite: https://psd2meniet.nl/betere-informatie-over-rekeninginformatiediensten/.

Privacy First nodigt u graag uit voor haar Nieuwjaarsborrel! Deze zal plaatsvinden op woensdagavond 8 januari as. in het Volkshotel in Amsterdam. De avond zal grotendeels in het teken staan van het thema Blockchain en financiële privacy. Welke actuele ontwikkelingen vinden er op dit vlak plaats? Hoe verhouden die ontwikkelingen zich tot het recht op privacy? Hoe kan blockchain zo worden ontworpen en gereguleerd dat publieke waarden als privacy, transparantie en vertrouwen erdoor worden versterkt? En welke rol zou Privacy First hierbij kunnen spelen? Na de Nieuwjaarsspeech door Privacy First voorzitter Bas Filippini zullen juridisch expert Jurgen Goossens (Universiteit Tilburg), financieel expert Simon Lelieveldt en Martijn van der Veen (Privacy First) hun licht over deze kwesties laten schijnen. Hierna is er ruimte voor discussie onderling en met het publiek, gevolgd door een borrel waar wij samen kunnen proosten op een privacyvriendelijk 2020!

Iedereen is welkom, toegang is gratis. Donaties aan Privacy First worden echter zeer op prijs gesteld. Aanmelden kan via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken., maar is niet verplicht.

Datum: woensdag 8 januari 2020, 19.30-22.00u (inloop vanaf 19.00u).
Locatie: Volkshotel, Wibautstraat 150 te Amsterdam (Doka cocktailbar). Een routebeschrijving vindt u op https://www.volkshotel.nl/nl/directions/.

Klik HIER voor de uitnodiging zoals Privacy First die onlangs aan haar netwerk verzond (pdf). Wilt u voortaan directe uitnodigingen voor onze evenementen ontvangen? Mail ons! Dan voegen wij u toe aan onze mailinglist.

Website is live!

Na een ontwerp- en bouwtraject van twee maanden is onze website www.psd2meniet.nl live. De website is ontwikkeld door Marc Smits. Onze projectpagina biedt informatie over PSD2 en over ontwikkelingen rondom het PSD2-me-niet register. We breiden de website voortdurend uit. Hierover kunt u via onze PSD2-nieuwsbrieven op de hoogte blijven.

Duidelijke informatie over risico's

De kern van het project is direct duidelijk verwoord: 'welke betalingen houdt u liever geheim?' De website wijst bezoekers op de privacyrisico's van PSD2. De site is zo opgezet dat het zowel individuen als professionals aanspreekt. Beseffen politieke partijen, vakbonden en patiëntenorganisaties dat zij een belangrijke verantwoordelijkheid richting hun achterban hebben?

Informatie in dossiers

Op de website staan in een aantal blokken dossiers. Over bijzondere persoonsgegevens, over ons project en het PSD2-me-niet register. Gedurende het project zal steeds informatie worden toegevoegd en bijgewerkt en voegen we dossiers toe. Heeft u een vraag of zoekt u specifieke informatie? Laat het ons dan weten!

Neem direct een kijkje op de site!

Opvallend logo

Zoals u ziet heeft ons PSD2-project een eigen, opvallend beeldmerk. Een QR-code in een zakelijke en frisse kleurstelling. We kozen voor een QRcode om duidelijk te maken dat achter de term PSD2 veel schuilgaat. Ook geeft de QR-code eigentijdse mogelijkheden. Wie nu de QR-code scant komt bij het inschrijfformulier voor nieuwsbrieven. Tijdens een presentatie kan het publiek zich bijvoorbeeld direct inschrijven voor onze nieuwsbrief. Op later moment kan deze link eenvoudig aangepast worden.

We hopen dat de website u bevalt, en dat het de informatie biedt die mensen (en organisaties) motiveert om PSD2 een stuk privacyvriendelijker te maken!

PSD2-me-niet-register

Is innovatie met betaalgegevens mogelijk met behoud van privacy? PSD2 is de nieuwe Europese bankenwet waardoor betaalgegevens ook met niet-bancaire partijen gedeeld kunnen worden. De wetgever heeft echter verzuimd om privacy by design door te voeren. Stichting Privacy First neemt daarom het initiatief voor een PSD2-me-niet-register. Dit is een opt-out register waarmee rekeningnummers gefilterd kunnen worden. De use-cases zijn rekeningnummers van “bijzondere persoonsgegevens” zoals een betaling aan een vakbond, zorgverlener, politieke partij of organisatie die seksuele voorkeur onthult. En consumenten die hun tegenrekening gefilterd willen hebben. Het PSD2-me-niet-register kan richtinggevend worden op Europees niveau.

Bron: https://www.sidnfonds.nl/nieuws/de-eerste-pioniers-van-2019, 22 mei 2019.

Volg https://psd2meniet.nl voor updates en wordt alvast lid van ons PSD2 Privacy Panel!

Privacy First is voor al haar projecten en bijbehorende werkzaamheden grotendeels afhankelijk van donaties. Hoe meer financiële steun en donaties, hoe eerder Privacy First het PSD2-me-niet-register zal kunnen realiseren!

PSD2 in Nederland van kracht

Sinds deze week is PSD2 in Nederland van kracht: de nieuwe Europese bankenwet die onder meer mogelijk maakt dat bankgegevens ook door andere partijen verwerkt mogen worden. Dit brengt grote privacy-risico's met zich mee. Op 7 januari jl. was Privacy First daarom tafelgast bij het televisieprogramma Radar en zagen bijna 1,3 miljoen kijkers dat Privacy First een serieuze speler is in het debat over PSD2 en privacy. Hoeveel informatie zit verstopt in tien jaar rekeninginformatie denkt u? Inkomsten, uitgaven, lidmaatschappen, donaties, locaties? En welk profiel maakt een kredietbeoordelaar als die kijkt naar roodstand, relaties en onlineaankopen? Bij hoeveel partijen komen al die gegevens straks te liggen?

Uitdrukkelijke toestemming vraagt té veel van consument

De dataoverdracht van bank naar een andere financiële dienstverlener (fintech) mag alleen gebeuren met uw uitdrukkelijke toestemming en binnen de kaders van de wet, maar het is niet voor niets dat Privacy First aan dit dossier werkt!

Samen met de Volksbank, Betaalvereniging Nederland en andere partijen zetten we ons al een tijd in voor betere informatie en transparantie. De stem van bedrijven wordt gehoord, die van consumenten en kritische privacydenkers nauwelijks. Uit onderzoek van De Nederlandse Bank (DNB) blijkt dat 94 procent van de consumenten nog niet van PSD2 heeft gehoord en over het algemeen terughoudend is om een derde partij toegang tot zijn of haar rekening te geven. En dat terwijl de eerste licentieaanvragen van rekeninginformatie-dienstaanbieders al bij DNB liggen...

Neem deel aan ons PSD2 Privacy Panel 

Privacy First zet zich in voor eigen keuzes in een vrije omgeving. Daarom nodigen we u uit om deel te nemen aan ons nieuwe PSD2 Privacy Panel. We willen panelleden de komende tijd informeren en vragen om mee te denken over privacy-risico's. Doet u mee? Als u zich inschrijft kunt u een waardevolle bijdrage leveren aan diverse onderwerpen op het gebied van PSD2 en privacy. Bovendien: uw medewerking versterkt de boodschap van Privacy First!

U kunt zich via deze link opgeven voor het PSD2 Privacy Panel. U ontvangt een welkomstmail en hierna enkele informatieve mails over PSD2 en privacy-risico's. Vervolgens vragen we uw mening in een aantal enquêtes. Later dit jaar organiseren we een bijeenkomst over dit uiterst relevante thema.

We willen uw mening, niet uw privacy.

We hechten veel waarde aan uw privacy. Daarom hebben we een aantal maatregelen getroffen zodat u zo anoniem mogelijk kunt deelnemen. Bij voorkeur schrijft u zich in met een e-mailadres zonder herleidbare naam, organisatie of bedrijf erin. De mailings worden uitgevoerd met LaPosta, een Nederlands bedrijf dat al jaren serieus werk maakt van privacy en informatiebeveiliging. We hebben de omgeving zo ingesteld dat we uw gedrag niet kunnen volgen. En natuurlijk kunt u zich ieder moment uitschrijven.

Doet u mee?

Privacy First zet zich in voor de bescherming van privacy. Rondom PSD2 kunnen nog belangrijke verbeteringen gemaakt worden. U kunt op een eenvoudige manier bijdragen. Bovendien wordt u geïnformeerd over deze belangrijke wet, waarmee betalingsverkeer ingrijpend kan veranderen. Word daarom lid van het PSD2 Privacy Panel.

Alvast bedankt!

Nieuwe Europese wetgeving PSD2 in werking 

Vanaf begin 2019 wordt in Nederland PSD2 van kracht (Payment Service Directive 2). Met deze nieuwe Europese bankenwet kunnen consumenten hun bankgegevens delen met andere partijen dan hun eigen bank. Hiervoor moet de consument eerst uitdrukkelijke toestemming geven. Hierna moet de bank alle transactiedata[1] van de consument (rekeninghouder) met een externe partij (financiële dienstverlener) delen voor een periode van 90 dagen, waarna de consument zijn toestemming kan vernieuwen. Tevens kan de consument zijn toestemming op ieder moment intrekken.

PSD2 baart Privacy First grote zorgen

Privacy First heeft grote zorgen rond PSD2. De wet is teveel gericht op het verbeteren van mededinging en innovatie en het privacybelang van de rekeninghouders is uit het oog verloren. De grootste bezwaren van Privacy First zijn:

• Consumenten kunnen de hoeveelheid bankgegevens niet beperken. Zelfs als een financiële dienstverlener deze gegevens niet nodig heeft, wordt na het geven van toestemming toch alle data gedeeld.
• In de bankgegevens van een consument staan ook de gegevens van andermans tegenrekening. Deze persoon weet niet dat zijn gegevens gedeeld worden en kan dit ook niet verhinderen. Doordat de transactiedata via Big Data en data-analyses veel breder geanalyseerd zullen worden dan voor de inwerkingtreding van PSD2 ontstaan grote risico's op privacyschendingen.
• Bankgegevens bevatten “bijzondere persoonsgegevens” die alleen onder strikte voorwaarden verwerkt mogen worden.[2] Een contributiebetaling aan een vakbond, politieke partij of organisatie die seksuele voorkeur onthult, moet volgens Privacy First gezien worden als bijzonder (gevoelig) persoonsgegeven. Ook transacties met zorgverleners en apotheken moeten als bijzondere persoonsgegevens worden gezien. Op dit moment bestaat geen mogelijkheid deze gegevens te filteren en worden ze verstrekt aan partijen die deze gegevens niet mogen verwerken.

Tijdens de uitzending van AVROTROS Radar van maandagavond 7 januari 2019 vroeg Privacy First nadrukkelijk aandacht voor deze zaken.

PSD2-keurmerk voor transparantie

Privacy First wil dat consumenten eerlijk en transparant geïnformeerd worden over wat er met hun gegevens gebeurt. In plaats van lange privacy-statements pleit Privacy First voor onafhankelijke informatie op één A4, waarbij door consumenten vastgestelde informatie wordt geboden. Consumenten kunnen immers zelf het beste bepalen welke informatie zij waardevol vinden bij het maken van een keuze. Gedurende 2018 werkte Privacy First aan dit initiatief samen met de Volksbank en andere partners uit de financiële sector.

PSD2-me-niet-register

Privacy First is verbaasd dat er geen aandacht is geweest voor de rol van “bijzondere persoonsgegevens” in transactiedata. Deze gegevens mogen alleen onder strikte voorwaarden gedeeld worden en moeten dus gefilterd kunnen worden. Ook consumenten die niet willen dat hun gegevens door anderen worden gedeeld met financiële dienstverleners moeten de mogelijkheid krijgen dit te voorkomen. Daarom wil Privacy First een opt-out register voor PSD2, vergelijkbaar met het bel-me-niet-register. Tijdens de uitzending van Radar kondigde Privacy First aan het initiatief voor dit voorstel te nemen, waarbij wij ernaar streven dit met de financiële sector en politiek verder te ontwikkelen. Het doel daarbij is dat het gebruik van een opt-out register verplicht wordt gesteld. De Europese PSD2-richtlijn zal hiervoor aangepast moeten worden.

[1] Aanvullende informatie: het gaat om alle transactiedata. Hoe ver deze gegevens terug gaan verschilt per bank. Zie het overzicht van de Consumentenbond: Meerderheid bewaart rekeningafschriften ten minste 5 jaar https://www.consumentenbond.nl/betaalrekening/meerderheid-bewaart-rekeningafschriften-ten-minste-5-jaar.

[2] Aanvullende informatie: dit is opgenomen in artikel 9 AVG en art. 22 UAVG. Kortgezegd is de verwerking van bijzondere persoonsgegevens verboden, tenzij. Zie https://wetten.overheid.nl/BWBR0040940/2018-05-25.

"Enkele Nederlandse banken en fintechs werken samen met Stichting Privacy First aan een PSD2-keurmerk. Daarmee willen de bedrijven aan consumenten duidelijk maken wie ze hun data kunnen toevertrouwen. De Volksbank schaart zich als een van de eersten achter het initiatief. Op welke behoefte spelen de betrokkenen in?

De Europese betaalrichtlijn PSD2 levert behalve innovatie ook privacyzorgen op. De in januari in werking getreden richtlijn – Nederland volgt waarschijnlijk deze zomer met eigen wetgeving – zorgt ervoor dat consumenten bedrijven toegang kunnen geven tot hun bankrekening en (financiële) data. De vraag is echter of zij doorhebben privacygevoelige gegevens te delen. Eenmaal gedeeld kunnen banken die data bovendien niet meer ‘terughalen’.

Behalve een voordeel kleeft er dus ook een reëel risico aan PSD2, stelt Privacy First. Samen met enkele Nederlandse banken en fintech-bedrijven werkt de belangenorganisatie daarom aan een keurmerk. De partijen reageren daarmee op een uitspraak van De Nederlandsche Bank. Die zou eerder hebben vastgesteld dat hier behoefte aan is. Terwijl de AVG, de nieuwe Europese privacywet, moet zorgen voor betere bescherming zet PSD2 de achterdeur open, legt Martijn van der Veen van Privacy First uit.

Hoe zien jullie PSD2 vanuit privacy-oogpunt?

Van der Veen: “Het onderwerp privacy is binnen PSD2 veel te lang onderbelicht gebleven. Lang was PSD2 vooral een feestje voor fintechs en gericht op het innoveren van het betalingsverkeer.

“Met PSD2 kunnen partijen onder meer inzage krijgen in je transactiegegevens, bijvoorbeeld voor het krijgen van inzicht over meerdere bankrekeningen heen. Een bank mag die transactiedata niet zomaar verstrekken, daarvoor moet een consument ‘uitdrukkelijke toestemming’ geven. Dat is niet eventjes een vinkje zetten. De persoon moet ‘vrije, specifieke en geïnformeerde’ toestemming geven. Op papier is het dan prima geregeld. Maar de impact van PSD2 op de privacy kan veel groter zijn dan de vraag of iemands toestemming is geregistreerd.

“Onze grootste zorg is wat er gebeurt met de gegevens zodra die bij een dienstverlener liggen. Wat doen die ermee? Denk maar niet dat diensten beperkt blijven tot het tonen van transactiegegevens, bedrijven willen iets doen met die grote hoeveelheid gegevens die in hun bezit komt. Denk aan het doen van aanbiedingen, nieuwe diensten en vergelijkingen. Daarvoor willen ze gegevens koppelen, relateren en zoeken naar patronen. En uiteraard zit daar ook een verdienmodel aan vast.

“Een verkeerde framing is dat het ‘maar’ transactiegegevens zijn. Je kunt er ontzettend veel uit afleiden over iemands leven. Als je bij een bank drie jaar terug kan kijken, dan ontvangt de aanbieder ook direct drie jaar aan transactiedata. Aan rekeningnummers kan je aflezen of iemand vaak medische ondersteuning gebruikt, waar een persoon vaak komt en wat iemands leefpatroon is. Uit terugkerende overboekingen leid je af of iemand lid is van een religieuze organisatie of vakbond. Dat zijn gegevens die met goede redenen niet gebruikt mogen worden.

“Het gekke is, waar iedereen vanwege de AVG zijn best doet om zijn privacybescherming op orde te krijgen zet PSD2 de achterdeur wagenwijd open.”

Maar waarom is een keurmerk nodig?

“Het Privacy Keurmerk PSD2 moet consumenten helpen bij hun keuze voor een aanbieder. Het geeft informatie over of de aanbieder goed met de persoonlijke gegevens om zal gaan en te vertrouwen is. Daarbij willen we de open normen van de wet inkleuren. Nu bepaalt een aanbieder wat een fatsoenlijke bewaartermijn van gegevens is. En hoe snel hij reageert op klachten. Het is maar de vraag of het belang van de consument dan voorop staat. Het keurmerk informeert consumenten en stimuleert aanbieders om het niveau van privacybescherming te verhogen. Voor beide partijen is dat waardevol omdat dit het vertrouwen in een dienstverlener verhoogt.” (...)

Lees verder bij Emerce.

Tijdens een persbijeenkomst over PSD2 is het Privacy keurmerk PSD2-initiatief gepresenteerd. Met het keurmerk moeten financiële aanbieders en fintechs worden gestimuleerd om de privacy van consumenten centraal te stellen.

Volksbank

Als je de eindjes met moeite aan elkaar kunt knopen, krijg je op den duur lichamelijke klachten, aldus twee Utrechtse huisartsen in het AD/Utrechts Nieuwsblad van 7 maart jl. Wie een gezond leven wil, moet daarom ook financieel gezond zijn. Grip hebben op je eigen financiën en alle gegevens die daarbij horen, past daarbij. Op beide gebieden biedt de Volksbank graag een helpende hand.

De nieuwe PSD2-wetgeving maakt de weg vrij voor betaalapps van nieuwe partijen. Banken hebben niet langer het alleenrecht op het aanbieden van betaaldiensten. Dat lijkt goed nieuws voor de consument. Maar er is ook een keerzijde. Een klant die zijn data deelt met zo’n nieuwe aanbieder moet er rekening mee houden dat hij privacygevoelige gegevens deelt. De bank kan deze gegevens niet meer terughalen, dus de consument staat er alleen voor als hij spijt heeft.

De Consumentenbond waarschuwde recentelijk dat er nu al uit commerciële motieven op grote schaal persoonlijke data worden verzameld. Met PSD2 gaat dit alleen maar toenemen. Uiteindelijk is 90 dagen toegang voldoende om een digitaal profiel op te stellen dat verhandeld kan worden. De Volksbank wil dat niet en vindt dat de data van de klant bij de bank veilig moet zijn: "Dat betekent dat we geen data van klanten verkopen, zowel op individueel als geaggregeerd niveau. Wij verdienen ons geld als bank en niet met het verkopen van data van onze klanten."

De Volksbank ziet het als haar taak om klanten in de nieuwe veranderde omgeving te helpen op een veilige en weloverwogen manier met de eigen data om te gaan. Door goed voor te lichten (gratis is nooit echt gratis) maar ook door zelf aanvullende maatregelen te nemen:

• De hoofdschakelaar die het zelfbewustzijn vergroot; data delen wordt een weloverwogen beslissing. De hoofdschakelaar staat standaard op ‘uit’. Een klant die zijn data wil delen moet eerst de hoofdschakelaar omzetten, voordat hij de eerste keer opdracht aan de bank kan geven zijn data aan individuele partijen door te geven. Vervolgens moet de klant per partij ook apart opdracht geven. De klant kan per partij het delen van data tussentijds stopzetten. Of in één keer met de hoofdschakelaar, waarmee direct de toegang van alle partijen wordt gestopt.
• Samen met Privacy First, andere banken, KPMG en fintechs wordt er een PSD2-keurmerk ontwikkeld. Hiermee komen deze organisaties tegemoet aan de oproep van DNB die constateert dat dit nog ontbreekt en er behoefte aan is. Bij ons weten zijn we het eerste land dat zich hiermee bezig houdt. Met het PSD2-keurmerk moet het voor consumenten in één keer duidelijk worden aan wie zij hun data wel/niet kunnen toevertrouwen. De Volksbank werkt hard aan de verdere ontwikkeling, zodat het gereed is zodra de Europese PSD2-richtlijn in Nederland van kracht wordt.

Privacy First

Stichting Privacy First steunt het Privacy Keurmerk bij PSD2. Privacy First ziet het graag uitgroeien tot een internationaal keurmerk met draagvlak bij banken, fintechs, aanbieders, toezichthouders en consumentenorganisaties.

PSD2 biedt voordelen maar helaas ook risico's voor de privacy van mensen. Mensen zijn méér dan consumenten. Privacy First betwijfelt of de in PSD2 genoemde maatregelen om de gegevens en daarmee privacy van mensen te beschermen afdoende zullen zijn. Zo steunt PSD2 voor de bescherming van persoonsgegevens erg op de nieuwe Algemene Verordening Gegevensbescherming (AVG). Deze verordening is momenteel nog niet van kracht en we weten nog niet welke effecten PSD2 in de praktijk zal hebben of hoe het toezicht eruit zal gaan zien. Veel organisaties zijn nog niet klaar om te voldoen aan alle eisen. Ze zullen echter niet wachten met het aanbieden van hun diensten. Ook toezichthouders zijn niet klaar om alle privacyaspecten te handhaven. Met PSD2 wil men gaan vliegen zonder dat de parachute is gecontroleerd.

We hopen dat het keurmerk financiële aanbieders en vooral fintechs stimuleert om verder te gaan en de consument als mens centraal te stellen. We willen dat de eisen van het keurmerk ieder jaar hoger worden. We willen dat aanbieders oog hebben voor de 'informatie achter de informatie':

• Onthulling van gedrag en gegevens door anderen
• Diensten met als achterliggend doel gegevens te verzamelen (oneigenlijke toepassing)
• Het afleiden van gegevens, zoals transactiedata waaruit bijzondere persoonsgegevens afgeleid kunnen worden.

We roepen fintechs op verder te gaan met de mogelijkheden om gegevens te beperken. Denk aan het uitsluiten van transactiedata die kunnen wijzen op religie, politieke voorkeur en gezondheid. Maar ook beperking van de duur van de transactiedata.

Tevens gepubliceerd op https://www.privacy-web.nl/nieuws/privacy-keurmerk-psd2-initiatief-gepresenteerd.