Privacy en betaalgegevens
Banken en betaaldiensten mogen klantgegevens niet zomaar delen. Dat staat in de privacywetgeving. De belangrijkste privacywet is de Algemene Verordening Gegevensbescherming (AVG). Deze wet geldt in de hele Europese Unie en gaat over persoonsgegevens. Persoonsgegevens zijn bijvoorbeeld naam, leeftijd en geboortedatum.
Banken en betaaldiensten weten veel van hun klanten. Denk aan een bankrekeningnummer, hoeveel spaargeld iemand heeft en transactiegegevens. Dat zijn ook persoonsgegevens. Daarom moeten banken en betaaldiensten zich houden aan de privacyregels. De Autoriteit Persoonsgegevens houdt toezicht.
Mag een bank of betaaldienst persoonsgegevens verwerken?
De AVG geldt voor alle organisaties – dus ook banken en betaaldiensten – die persoonsgegevens verwerken. Verwerken houdt in: alles wat gedaan kan worden met persoonlijke informatie. Dat is bijvoorbeeld het opvragen, verzamelen, gebruiken, inzien en verwijderen van klantgegevens.
Het verwerken van persoonsgegevens mag alléén op basis van één van de zes grondslagen uit de AVG. Persoonsgegevens verwerken mag als:
- De klant toestemming geeft
- De bank/betaaldienst wettelijk verplicht is bepaalde informatie te delen
- Het nodig is voor de uitvoering van een overeenkomst tussen de bank/betaaldienst en de klant
- Het nodig is om vitale belangen van de klant te beschermen
- Het nodig is om een taak van algemeen belang of openbaar gezag uit te voeren
- Het nodig is om gerechtvaardigde belangen van de bank/betaaldienst of derden te behartigen
Wat doet de bank met klantgegevens?
Banken mogen – binnen de wet- en regelgeving – zelf bepalen voor welk doel zij persoonsgegevens verwerken. De bank moet de klant dan wel vooraf goed informeren over:
- Voor welke doelen de bank persoonsgegevens verwerkt
- Op basis van welke grondslag uit de AVG de bank persoonsgegevens verwerkt
In het privacy statement en cookiereglement staat hoe banken omgaan met de gegevens van haar klanten. Dat is niet bij elke bank hetzelfde. Ook mogen banken hun privacy statement en cookiereglement wijzigen.
Klantgegevens delen kan bijvoorbeeld nodig zijn voor fraudebestrijding en beveiliging. Of omdat de bank wettelijk verplicht is bepaalde gegevens door te geven aan de Belastingdienst. Daarvoor heeft de bank niet altijd toestemming nodig van de klant.
Welke gegevens en waarom?
Banken zijn verplicht om onderzoek te doen naar haar klanten. Dat heet Customer Due Diligence (CDD). Is de klant bijvoorbeeld wie hij zegt te zijn? Welke risico’s zijn er? Die informatie is nodig voor het bestrijden van fraude- en witwaspraktijken.
Ook heeft een bank een zorgplicht. De bank kijkt bijvoorbeeld naar loonstroken en financiële verplichtingen voor het berekenen van een hypotheek. De bank toetst tevens het inkomen voor de aanvraag van een creditcard.
Voor de zorgplicht heeft de bank veel gegevens nodig. Die informatie vraagt de bank op bij de klant zelf. Maar ook bij andere partijen, zoals het Bureau Kredietregistratie (BKR).
Bovendien groeit de hoeveelheid data als een klant gebruikmaakt van producten en diensten van een bank. Bijvoorbeeld over betaalgedrag, gebruik van een app, overboekingen en aflosgedrag op een lening. Dit soort informatie kan een bank gebruiken voor het ontwikkelen of aanbieden van nieuwe producten en diensten.
Wat doen betaaldiensten met betaalgegevens?
Betalen doen we steeds meer digitaal. Er zijn verschillende (online) betaaldiensten, waar consumenten gebruik van kunnen maken.
Denk aan achteraf betalen, betalen via een smartphone, het koppelen van meerdere bankrekeningen, een analyse van betaalgegevens of het bijhouden van een automatisch huishoudboekje.
Voor het gebruik van zo’n betaaldienst heeft het bedrijf achter de betaaldienst toegang nodig tot betaalgegevens van de klant. Dat is gevoelige informatie, zoals inkomen, overboekingen en koopgedrag.
Als de consument toestemming geeft, beschikt de betaaldienst over veel persoonlijke informatie. Die informatie mag een betaaldienst nooit zomaar delen. Dat staat in de AVG.
Wat is de tweede Payment Service Directive?
Een betaaldienst moet zich houden aan de regels uit de AVG. Daarnaast is er een Europese richtlijn. Dit is de tweede Payment Service Directive, afgekort PSD2. In deze richtlijn staat dat andere partijen, zoals een betaaldienst, toegang mogen hebben tot betaalgegevens van consumenten. Maar alleen als de consument uitdrukkelijk toestemming geeft.
Meer informatie over het geven van uitdrukkelijke toestemming staat hier.
Voorbeeld: een online aankoop
Een consument koopt iets online en kiest ervoor om een nieuwe betaaldienst te gebruiken. De consument accepteert de algemene voorwaarden. Daarnaast moet de betaaldienst de consument apart informeren over het gebruik van persoonsgegevens.
De consument geeft wel of geen uitdrukkelijke toestemming. Als er geen toestemming is, kan de consument de nieuwe betaaldienst niet gebruiken.
Geeft de consument wel toestemming? Dan gaat de betaaldienst met die toestemming naar de bank van de consument. De bank geeft vervolgens toegang tot de betaalgegevens, waarmee de betaaldienst de betaling kan regelen. De consument kan nu via de betaaldienst betalen.
Welke privacyrechten heeft een consument?
In de AVG staan ook de privacyrechten van consumenten, zoals het inzien, laten corrigeren of verwijderen van persoonsgegevens.
Een consument heeft bijvoorbeeld het recht om te weten welke gegevens een bank of betaaldienst heeft en wat er met deze persoonsgegevens gebeurt.
Nieuw in de AVG is het recht op dataportabiliteit. Consumenten mogen hun persoonsgegevens opvragen in een digitaal standaardformaat en kunnen deze informatie laten doorsturen naar andere partijen.
Het recht op vergetelheid is ook nieuw. Het laten verwijderen van persoonsgegevens was al een privacyrecht. Maar nu kunnen consumenten een organisatie vragen dit door te geven aan alle andere partijen, waarmee deze gegevens zijn gedeeld.
Als een bank of betaaldienst niet zorgvuldig omgaat met persoonsgegevens, kan de consument een klacht indienen bij de Autoriteit Persoonsgegevens. Hoe dat werkt, wordt hier uitgelegd.
Meer weten over?
