De Nederlandsche Bank (DNB) en de Autoriteit Persoonsgegevens (AP) hebben op 21 februari 2019 een samenwerkingsprotocol ondertekend in het kader van het toezicht op de naleving van de Payment Services Directive 2 (PSD2). Beide toezichthouders hebben een rol in het toezicht op de nieuwe Europese richtlijn voor betaaldiensten. De AP en DNB voeren de in de AVG en de Wft genoemde taken uit, ieder met eigen verantwoordelijkheden en bevoegdheden. Op een aantal gebieden bestaan raakvlakken tussen de AVG en de Wft ten aanzien van betaaldienstverleners.
De AP en DNB werken samen om samenloop van werkzaamheden te voorkomen en om de kwaliteit van het aan hen opgedragen toezicht te bevorderen; dit is vervat in het samenwerkingsprotocol.
Informatie delen
Het samenwerkingsprotocol bevat de algemene norm dat de AP en DNB elkaar, gevraagd en ongevraagd, over en weer kunnen informeren over gegevens en inlichtingen die relevant worden geacht voor de uitoefening van hun taken, voor zover een wettelijke bepaling dat niet in de weg staat.
Daarnaast bevat het specifieke afspraken over het uitwisselen van informatie van DNB naar de AP indien DNB een vergunningaanvraag ontvangt van een PSD-instelling en het wisselen van informatie van de AP naar DNB op het moment dat er een datalek aan de orde is bij een PSD-instelling (en omgekeerd ook indien DNB een incidentmelding ontvangt van een PSD-instelling die ziet op een verwerking van persoonsgegevens).
In de praktijk blijkt hier al invulling aan te worden gegeven. In het eerste kwartaal van dit jaar is de AP een onderzoek gestart naar Nederlandse bedrijven met een PSD2-vergunning die betaalrekeninginformatie verwerken. De AP wil te weten komen of die bedrijven zich bewust zijn van de privacyrisico’s die de verwerking van rekeninggegevens met zich meebrengt en of ze voldoen aan de privacyregelgeving. De PSD2-instellingen die een vergunning hebben ontvangen van DNB om hun PSD diensten te mogen aanbieden, ontvangen een brief van de AP met uitleg over de belangrijkste onderwerpen uit de AVG die op hun dienstverlening van toepassing zijn.
Met deze brief hoopt de AP een goede basis te leggen bij de PSD-instellingen omtrent het regulatoir kader rond het verwerken van persoonsgegevens.
Meer weten?
lees meer over privacy onder PSD2 en de AVG, of lees ons artikel over de NY SHIELD Act en de gevolgen die deze privacywetgeving heeft op financiële instellingen in Nederland.
Wilt u meer weten over de AVG of over PSD2 en vergunningen? Onze consultants vertellen u er graag meer over.
Neem contact met ons op