Vragen van de leden Merkies en Gesthuizen (beiden SP) aan de ministers van Financiën, van Veiligheid en Justitie en van Economische Zaken over de opkomst van Apple en Google in het betalingsverkeer (ingezonden 22 januari 2015).

Antwoord van Minister Dijsselbloem (Financiën) mede namens de Staatssecretaris van Veiligheid en Justitie en de Minister van Economische Zaken (ontvangen 19 februari 2015).

Vraag 1

Heeft u kennisgenomen van de artikelen «Banken vrezen opkomst Apple» en «Pas op, de Amerikanen komen eraan»?1

Antwoord 1

Ja.

Vraag 2 en 3

Bent u het met de banken eens dat er een ongelijk speelveld dreigt te ontstaan in het betalingsverkeer, gezien het feit dat banken en verzekeraars wel en IT-bedrijven niet onder de gedragscode verwerking persoonsgegeven financiële instellingen vallen? Wilt u uw antwoord toelichten?

Klopt het dat IT-bedrijven, nadat zij zich laten registreren als betaalinstelling, met betrekking tot de verwerking van persoonsgegevens aan andere regelgeving moeten voldoen dan banken en verzekeraars? Kunt u uitleggen in hoeverre deze regelgeving afwijkt?

Antwoord 2 en 3

Alle genoemde partijen, dus zowel financiële instellingen als andere bedrijven, moeten voldoen aan dezelfde privacywetgeving. De EU-richtlijn bescherming persoonsgegevens en de Wet bescherming persoonsgegevens (Wbp) gelden in volle omvang. De Gedragscode verwerking persoonsgegevens financiële instellingen is geen overheidsregelgeving, maar een vrijwillig overeengekomen nadere invulling van de regels waaraan de partijen die tot deze gedragscode zijn toegetreden zich vrijwillig houden. De Gedragscode is geen van de Wbp afwijkende regelgeving, maar een nadere invulling. Zo beschrijft bijvoorbeeld § 5.4 van de Gedragscode in welke specifieke gevallen financiële instellingen persoonsgegevens mogen gebruiken voor directmarketingactiviteiten. Instellingen of bedrijven die geen partij zijn bij de Gedragscode zullen hun beleid terzake rechtstreeks op grond van de Wbp moeten vaststellen.

Vraag 4

Deelt u de mening dat enkel en alleen de klant moet kunnen beslissen wat er met zijn data gebeurt, en dat banken enerzijds en IT-bedrijven als Google en Apple anderzijds, de informatie die zij verkrijgen alleen mogen gebruiken waarvoor deze is bedoeld, zoals beschreven in de Wet bescherming persoonsgegevens (Wbp) en de Gedragscode verwerking persoonsgegevens financiële instellingen?

Antwoord 4

De Wbp biedt het kader waarbinnen persoonsgegevens mogen worden verwerkt, het is niet zo dat uitsluitend persoonsgegevens met toestemming vna de betrokkene mogen worden verwerkt. Gebruik van persoonsgegevens is wel altijd toegestaan als er instemming is van de betrokkene. De Wbp biedt ook andere mogelijkheden om persoonsgegevens te verwerken. Cliënten en hun betaaldienstverleners kunnen afspraken over het gebruik van klantgegevens ook vastleggen in een overeenkomst. De Gedragscode verwerking persoonsgegevens financiële instellingen geeft daarnaast een nadere invulling aan de Wbp voor die instellingen die, op vrijwillige basis, bij de Gedragscode zijn aangesloten. Instellingen of bedrijven die geen partij zijn bij de Gedragscode stellen hun beleid rechtstreeks op grond van de Wbp vast.

Vraag 5 en 6

Bent u voornemens dit ongelijke speelveld weg te nemen? Kunt u uw antwoord toelichten?

In hoeverre zou de nieuwe Europese betaalrichtlijn, PSD2, dit ongelijke speelveld wegnemen?

Antwoord 5 en 6

Zoals hiervoor aangegeven moeten alle partijen voldoen aan dezelfde privacywetgeving.

In de richtlijn betaaldiensten 2, die momenteel nog in onderhandeling is, wordt waarschijnlijk een registratie-eis opgenomen voor organisaties die betaaldata van klanten opvragen met toestemming van die klanten. Deze organisaties staan onder toezicht en moeten net als anderen voldoen aan de privacyregelgeving.

Vraag 7

Wat is uw opvatting over het feit dat betaaldata in de privacyrichtlijn geen verhoogde bescherming genieten? Bent u bereid u ervoor in te zetten dat ook betaaldata een verhoogde bescherming genieten? Zo nee, waarom niet?

Antwoord 7

Het is inderdaad zo dat persoonsgegevens met betrekking tot betalingen in de EU-privacyrichtlijn niet als bijzondere persoonsgegevens zijn aangemerkt. Bijzondere persoonsgegevens, zoals bijvoorbeeld politieke overtuiging of religie of etnische achtergrond, hebben een ander regime gekregen om bescherming te bieden tegen ongelijkheid en discriminatie. Dit soort bijzondere persoonsgegevens mogen slechts worden verwerkt indien de Europese privacyregelgeving daarvoor een uitdrukkelijke grondslag biedt. Betaalgegevens worden niet beschouwd als bijzondere persoonsgegevens. Dat wil niet zeggen dat onrechtmatige verwerking van betaalgegevens geen vervelende consequenties zou kunnen hebben. Mede om deze reden wordt in de nieuwe Privacyverordening, die momenteel nog in onderhandeling is, een risico-georiënteerde benadering opgenomen voor de verwerking van persoonsgegevens. Uit deze risicobeoordeling kan volgen dat zwaardere verplichtingen worden opgelegd bij de verwerking. Eén van de risicofactoren is de kans op het ontstaan van financieel nadeel bij de betrokkene wanneer zijn persoonsgegevens onrechtmatig worden verwerkt. De zwaardere verplichtingen voor verantwoordelijken die dan kunnen worden opgelegd kunnen bijvoorbeeld bestaan uit een documentatieplicht, de verplichting om privacy impact assessments op te stellen of de verplichting om voorafgaand aan het starten van de gegevensverwerking overleg te voeren met de toezichthouder. Nederland heeft zich voor het toepassen van deze risico-georiënteerde benadering bijzonder ingespannen.


X Noot
1

Het Financieele Dagblad, 21 januari 2015

Naar boven