Samenwerkingsprotocol tussen de Autoriteit Persoonsgegevens en de Nederlandsche Bank N.V.

Afspraken tussen de Autoriteit Persoonsgegevens (AP) en De Nederlandsche Bank N.V. (DNB) over de wijze van behandeling van aangelegenheden die elkaars toezicht raken en de uitwisseling van informatie ten behoeve daarvan met betrekking tot betaaldiensten.

Preambule/inleiding

In verband met de Algemene Verordening Gegevensbescherming (AVG) en de bepalingen over betaaldienstverlening in de Wet op het financieel toezicht (Wft) hebben de AP en DNB, gezamenlijk aan te duiden als de toezichthouders, afspraken gemaakt over de samenwerking bij het toezicht.

De AP is ingevolge artikel 6 van de Uitvoeringswet Algemene Verordening Gegevensbescherming (Uitvoeringswet AVG) belast met het toezicht op organisaties, waaronder betaaldienstverleners, ten aanzien van gegevensbescherming. Voorts is de AP op grond van artikel 21a van de Uitvoeringswet AVG belast met het toezicht op de naleving van het krachtens artikel 3:17, zevende lid, van de Wft gestelde over de uitdrukkelijke toestemming die betaaldienstgebruikers moeten verlenen aan betaaldienstverleners om toegang te verkrijgen tot de persoonsgegevens van de betaaldienstgebruiker, om deze gegevens te verwerken en te bewaren, voor zover noodzakelijk voor het verlenen van de betaaldienst. DNB is ingevolge de Wft belast met het prudentieel – en integriteitstoezicht op betaaldienstverleners. Banken, (vrijgestelde) betaalinstellingen en (vrijgestelde) elektronische geldinstellingen zijn betaaldienstverlener in de zin van de Wft.

De AP en DNB voeren de in de AVG en de Wft genoemde taken uit, ieder met eigen verantwoordelijkheden en bevoegdheden. Op een aantal gebieden bestaan raakvlakken tussen de AVG en de Wft ten aanzien van betaaldienstverleners.

De AP en DNB werken samen om samenloop van werkzaamheden te voorkomen en om de kwaliteit van het aan hen opgedragen toezicht te bevorderen. Daarbij maken de toezichthouders waar mogelijk gebruik van de bij hen beschikbare informatie en toezichtinstrumenten, met toepassing van de in dit samenwerkingsprotocol vastgelegde afspraken.

HOOFDSTUK I - AFSPRAKEN M.B.T. HET BEVORDEREN VAN HET VINDEN VAN DE JUISTE TOEZICHTHOUDER

Artikel 1

  • 1. DNB en de AP bevorderen dat belanghebbenden zich wenden tot de AP in zaken waarin uitsluitend of overwegend de wet- en regelgeving waarop de AP toezicht houdt, van toepassing is.

  • 2. DNB en de AP bevorderen dat belanghebbenden zich wenden tot DNB in zaken waarin uitsluitend of overwegend de wet- en regelgeving waarop DNB toezicht houdt, van toepassing is.

  • 3. Meldingen en signalen, waaronder klachten en verzoeken, die betrekking hebben op het toezichtterrein van één toezichthouder, worden aan de betreffende toezichthouder verstrekt, met mededeling daarvan aan de verzender (doorzendplicht artikel 2:3 van de Algemene wet bestuursrecht).

HOOFDSTUK II - AFSPRAKEN M.B.T DE INFORMATIE-UITWISSELING

Artikel 2

DNB en de AP verstrekken elkaar uit eigen beweging dan wel desgevraagd de gegevens en inlichtingen die van belang (kunnen) zijn voor de uitoefening van hun wettelijke taken, voor zover wettelijke bepalingen hieraan niet in de weg staan.

Artikel 3

  • 1. Indien DNB een vergunningaanvraag ontvangt waarbij een bedrijfsmodel voorligt dat mede gebaseerd is op verwerking van persoonsgegevens, kan DNB met de AP in contact treden. Het is vervolgens aan de AP op welke wijze zij de verkregen informatie opvolgt.

  • 2. Indien uit een vergunningaanvraag blijkt dat, volgend uit de op grond van artikel 35 van de AVG verplichte gegevensbeschermingseffectbeoordeling, bij de verwerking van persoonsgegevens sprake is van een hoog risico dat onvoldoende is beperkt door de aanvrager, meldt DNB dit aan de AP in verband met de op grond van artikel 36 van de AVG verplichte voorafgaande raadpleging bij de AP door de aanvrager. Indien de aanvrager een verzoek om raadpleging in vorenbedoelde zin heeft gedaan, zal de AP DNB informeren over de uitkomst van de procedure.

Artikel 4

  • 1. De AP informeert DNB indien er bij haar een melding is gedaan van een inbreuk in verband met persoonsgegevens, bedoeld in artikel 33 van de AVG (melding datalekken), indien het een betaaldienstverlener betreft.

  • 2. DNB informeert de AP indien het van een betaaldienstverlener een incidentmelding heeft ontvangen op grond van de Wft die betrekking heeft op de verwerking van persoonsgegevens.

  • 3. DNB en de AP wisselen meldingen en signalen uit, waaronder klachten en verzoeken, die betrekking hebben op het toezichtsterrein van beide toezichthouders, waardoor sprake kan zijn van samenloop, onder de volgende voorwaarden:

    • a. De uitwisseling gebeurt zoveel mogelijk zonder dat de gegevens herleidbaar zijn tot de persoon van de signaalgever, klager of verzoeker.

    • b. Indien uitwisseling zonder dat de gegevens herleidbaar zijn tot de persoon van de signaalgever, klager of verzoeker niet mogelijk of wenselijk is, wordt van de uitwisseling mededeling gedaan aan de verzender.

  • 4. DNB en de AP zien erop toe dat de ontvangen gegevens en inlichtingen niet worden gebruikt voor een ander doel dan waarvoor deze zijn verstrekt. Door de verzoekende partij wordt expliciet aangegeven voor welk doel de informatie wordt gevraagd.

Artikel 5

Indien de AP voornemens is over te gaan tot het opleggen van een boete aan een betaaldienstverlener, dan meldt de AP dat voornemen aan DNB. Indien DNB voornemens is over te gaan tot het opleggen van een boete ten aanzien van een betaaldienstverlener voor zover daarbij verwerking van persoonsgegevens aan de orde is, dan meldt DNB dat voornemen aan de AP.

HOOFDSTUK III - INTERPRETATIE VAN BEGRIPPEN

Artikel 6

AP en DNB leggen begrippen uit de van toepassing zijnde regelgeving zoveel mogelijk op consistente wijze uit. De AP en DNB consulteren elkaar voor zover nodig over de wijze van uitleg van begrippen.

HOOFDSTUK IV - INTERNATIONALE SAMENWERKING

Artikel 7

DNB en de AP informeren elkaar over internationale aangelegenheden die beider toezichtterreinen raken.

HOOFDSTUK V - COÖRDINATIE EN BESTUURLIJK OVERLEG

Artikel 8

  • 1. DNB en de AP bevorderen door middel van onderlinge coördinatie de naleving van de afspraken uit dit samenwerkingsprotocol. Minimaal twee maal per jaar vindt een beleidsoverleg plaats over raakvlakken in het toezicht.

  • 2. Om de coördinatie van de uitvoering van het samenwerkingsprotocol te bevorderen wijzen de toezichthouders coördinatoren van het samenwerkingsprotocol aan, die zorg dragen voor de coördinatie van de contacten tussen de beide toezichthouders. Coördinatoren binden hun toezichthouder niet.

  • 3. Jaarlijks, of zoveel vaker als nodig is, vindt bestuurlijk overleg plaats tussen DNB en de AP over de in dit samenwerkingsprotocol geregelde samenwerking.

HOOFDSTUK VI - PUBLICITEIT

Artikel 9

  • 1. DNB en de AP stellen ieder op hun eigen website dit samenwerkingsprotocol beschikbaar voor het publiek.

  • 2. DNB en de AP stellen elkaar op de hoogte voordat zij informatie die voor de andere partij van belang kan zijn of die zij van de ander hebben gekregen, publiceren.

  • 3. DNB en de AP informeren elkaar vooraf over persberichten en mededelingen met betrekking tot een onderwerp dat (mede) behoort tot het werkterrein van de ander.

HOOFDSTUK VII - NADERE WERKAFSPRAKEN

Artikel 10

DNB en de AP kunnen nadere werkafspraken maken ter uitvoering van dit samenwerkingsprotocol.

HOOFDSTUK VIII - SLOTBEPALINGEN

Artikel 11

  • 1. DNB en de AP bespreken jaarlijks of de in dit protocol neergelegde afspraken worden nageleefd dan wel of aanpassing van dit protocol noodzakelijk is.

  • 2. Wanneer één van de toezichthouders vindt dat het samenwerkingsprotocol moet worden aangepast, treden de toezichthouders in overleg over wijziging van dit samenwerkingsprotocol.

  • 3. Wijzigingen met betrekking tot dit protocol worden na overleg tussen de toezichthouders schriftelijk overeengekomen.

  • 4. Drie jaar na inwerkingtreding evalueren de toezichthouders dit protocol gezamenlijk. Hierbij wordt in het bijzonder gekeken naar de praktische werkbaarheid van hetgeen in het samenwerkingsprotocol is vastgelegd en de wenselijkheid om dit samenwerkingsprotocol aan te passen of aan te vullen met in de praktijk gebleken nuttige werkafspraken.

  • 5. Dit samenwerkingsprotocol treedt in werking met ingang van de dag volgend op de dagtekening van de publicatie in de Staatscourant. Het heeft een werkingsduur voor onbepaalde tijd

  • 6. Elke toezichthouder kan het samenwerkingsprotocol onder opgave van redenen jaarlijks vóór 1 september schriftelijk opzeggen.

Amsterdam, 4 februari 2019

E.F. Bos Voorzitter toezicht De Nederlandsche Bank

Den Haag, 7 februari 2019

A. Wolfsen Voorzitter Autoriteit Persoonsgegevens

Naar boven