Wanneer mag ik als betaaldienstverlener persoonsgegevens verwerken?

Antwoord

Als betaaldienstverlener heeft u altijd een grondslag uit de Algemene verordening gegevensbescherming (AVG) nodig om persoonsgegevens te mogen verwerken. Daarnaast moet u eerst uitdrukkelijke toestemming hebben gekregen van de consument om toegang te krijgen tot zijn persoonsgegevens bij een andere betaaldienstverlener.

Uitdrukkelijke toestemming
Zonder uitdrukkelijke toestemming van een consument mag u als betaaldienstverlener geen toegang hebben tot zijn of haar persoonsgegevens. Dit is vastgelegd in de PSD2-richtlijn.

Uitdrukkelijk houdt in dat u een consument duidelijk en expliciet om toestemming moet vragen. De consument moet actief de gevraagde toestemming geven.

Let op: het vereiste van uitdrukkelijke toestemming is niet van toepassing als u alleen een rekeninginformatiedienst aanbiedt en meestal ook niet voor contracten die al zijn afgesloten.

De AVG-grondslagen
Het vereiste van uitdrukkelijke toestemming uit de PSD2-richtlijn geldt bovenop de regels uit de AVG. In de AVG staat dat organisaties zich moeten kunnen baseren op 1 van de 6 AVG-grondslagen voor het verwerken van persoonsgegevens. Voor u als betaaldienstverlener zal dit vaak de grondslag noodzakelijk voor de uitvoering van de overeenkomst zijn.

Let op: een van de grondslagen voor het verwerken van persoonsgegevens is ‘toestemming van de betrokken persoon’. Dit is níet hetzelfde als de uitdrukkelijke toestemming zoals bedoeld in de PSD2-richtlijn.

Datum: 18 oktober 2018