De Nederlandsche Bank (DNB) en de Autoriteit Persoonsgegevens (AP) hebben een samenwerkingsprotocol opgesteld waarin zij afspraken hebben vastgelegd om effectief en efficiënt toezicht te houden waar de taken van beide toezichthouders elkaar raken (het Samenwerkingsprotocol). Aanleiding voor het opstellen van dit Samenwerkingsprotocol was de in werking treding van de tweede Payment Services Directive (PSD2) in Nederland op 19 februari 2019.
Auteurs: Nina Orlić & Anke Holtland
PSD2 beoogt de concurrentie op de financiële markt te vergroten door de traditionele banken te laten concurreren met start-ups en techbedrijven. PSD2 maakt het mogelijk dat nieuwe betaaldienstverleners toegang krijgen tot de betaalrekening van consumenten. Een van de belangrijkste nieuwe verplichtingen is dat banken onder PSD2 gegevens van klanten moeten delen met andere partijen indien klanten daar (expliciet) hun toestemming voor verlenen. In Nederland is PSD2 onder meer geïmplementeerd in de Wet op het financieel toezicht (Wft).
Hoewel DNB toezicht houdt op de uitvoering van PSD2 in Nederland, is er ook een belangrijke rol weggelegd voor de AP omdat PSD2 nogal wat privacy gerelateerde vragen oproept. Onder meer met betrekking tot de toestemming die klanten aan banken kunnen geven voor het delen van hun persoonsgegevens. Als privacy toezichthouder zal de AP toezien op de naleving van de privacyregelgeving door partijen die door PSD2 toegang (zullen) krijgen tot persoonsgegevens die banken (met toestemming van hun klanten) met hen delen.
DNB en de AP hebben in het Samenwerkingsprotocol afspraken vastgelegd (i) over de wijze waarop zij omgaan met aangelegenheden die elkaars toezicht raken en (ii) over de onderlinge uitwisseling van informatie.
Beide toezichthouders zijn van plan elkaar (gevraagd en ongevraagd) informatie te verstrekken die van belang kan zijn voor de uitoefening van hun wettelijke taken. Als gevolg daarvan komen beide toezichthouders overtredingen mogelijk sneller op het spoor.
Daarnaast benoemt het Samenwerkingsprotocol ook een aantal specifieke situaties waarin DNB en de AP informatie zullen uitwisselen. Een voorbeeld hiervan is de situatie dat bij DNB een vergunningaanvraag is gedaan ten aanzien waarvan uit een verplicht uitgevoerde gegevensbeschermingseffectbeoordeling volgt dat sprake is van een gegevensverwerking met een hoog risico (waarvoor voorafgaande raadpleging van de AP verplicht is). DNB dient dit dan bij de AP te melden. Als de vergunningaanvrager de AP al heeft geraadpleegd, informeert de AP DNB vervolgens over de uitkomst van het onderzoek, wat zij als gevolg daarvan heeft uitgevoerd. Vergunningaanvragers die ‘vergeten’ de AP vooraf te raadplegen waar nodig, worden door dit systeem gecorrigeerd. Dit kan mogelijk wel leiden tot vertraging in de vergunningaanvraag bij de DNB.
Daarnaast bevat Samenwerkingsprotocol een verplichting om over en weer informatie uit te wisselen over (verplicht) gedane meldingen van betaaldienstverleners. Op basis van het Samenwerkingsprotocol dient DNB de AP bijvoorbeeld te informeren indien een betaaldienstverlener een incidentmelding heeft gedaan op grond van de Wft die betrekking heeft op de verwerking van persoonsgegevens. Betaaldienstverleners moeten een ‘incident’ onder meer bij DNB melden indien als gevolg daarvan het vertrouwen in de financiële markten of in de financiële sector (ernstig) kan worden geschaad. Andersom informeert de AP DNB indien de AP een datalekmelding heeft ontvangen van een betaaldienstverlener.
Er zijn ook waarborgen afgesproken. Zo zullen DNB en de AP erop toezien dat de gegevens en inlichtingen die zij op verzoek van elkaar ontvangen niet worden gebruikt voor een ander doel dan waarvoor deze zijn verstrekt. De verzoekende partij moet dat doel dan ook in het verzoek vermelden. Het Samenwerkingsprotocol bevat echter geen concrete afspraken over de doeleinden waarvoor ongevraagd verstrekte informatie mag worden gebruikt.
Met het oog op de enigszins overlappende taken van beide toezichthouders, zijn DNB en de AP met elkaar overeengekomen dat de AP DNB informeert als zij voornemens is een boete op te leggen aan een betaaldienstverlener. Andersom informeert DNB de AP als zij voornemens is een boete op te leggen aan een betaaldienstverlener voor zover daarbij de verwerking van persoonsgegevens aan de orde is. Deze afspraak betreft alleen een informatieverplichting. Wat wordt bedoeld met ‘voor zover daarbij de verwerking van persoonsgegevens aan de orde is’ wordt in het Samenwerkingsprotocol niet nader toegelicht en is om die reden vooralsnog onduidelijk.
De toezichthouders hoeven elkaar niet om advies te vragen. Daarnaast is er geen ‘voorrangsregeling’ overeengekomen voor situaties waarin beide toezichthouders voornemens zijn om een boete op te leggen voor hetzelfde feitencomplex, terwijl dergelijke situaties niet ondenkbaar zijn. DNB kan bijvoorbeeld een boete opleggen indien een bank de betaalgegevens (die zij van haar cliënten heeft) niet goed beveiligt en daarmee het vertrouwen in de financiële markten schaadt of kan schaden. De AP zou voor hetzelfde feit een boete kunnen opleggen voor overtreding van de AVG. Hoe de toezichthouders met deze overlap zullen omgaan, zal de praktijk uitwijzen.
Dit is overigens niet de eerste samenwerking die de AP aangaat. De AP heeft namelijk ook met andere toezichthouders afspraken gemaakt. Zo is er een samenwerkingsprotocol tussen de AP en de Nederlandse Zorgautoriteit, voor het gezamenlijk toezicht op zorgaanbieders en zorgverzekeraars. Daarnaast is er een samenwerkingsprotocol tussen de AP en de Autoriteit Consument en Markt, dat onder meer ziet op het toezicht op de telecommunicatie sector. Gelet op het feit dat persoonsgegevens de kern van PSD2 raken, is het niet meer dan logisch dat de AP ook op dit gebied een samenwerking aangaat met de relevante toezichthouder.
Dit artikel is ook te vinden in het dossier PSD2
