AP: 'Privacyregels van AVG staan boven PSD2'

Dat blijkt uit een advies dat de AP naar het ministerie van Financiën heeft gestuurd. De Europese richtlijn PSD2 geldt vanaf 1 januari 2018. Die moet echter nog wel omgezet worden in Nederlandse wetgeving. Daarvoor is nu het wetsvoorstel Implementatiewet herziene richtlijn betaaldiensten in voorbereiding. Een belangrijk onderdeel van de PSD2 is dat klanten van banken derden toestemming kunnen geven voor toegang tot hun bankgegevens.

Parallel daaraan zal vanaf 25 mei de Algemene verordening gegevensbescherming (AVG, of ook wel bekend als de GDPR) van kracht worden. In het wetsvoorstel voor de Nederlandse versie van de PSD2 zijn aparte regels opgenomen voor privacybescherming. Maar de AP benadrukt dat de privacywetging vanuit de AVG boven die regels in de PSD2 worden gesteld omdat betaalgegevens persoonsgegevens zijn. Dat is verwarrend, vindt de AP. En daarom adviseert de AP in het Wetsvoorstel duidelijker te maken wat de verhouding is tussen PSD2 en de AVG.

Ook vindt de AP dat nog niet duidelijk genoeg is dat zij zich niets hoeft aan te trekken van een eventueel oordeel van de Nederlandse Bank (DNB) over naleving van de AVG. Alleen de Europese privacytoezichthouders - zoals de AP voor Nederland – en de rechter kunnen een interpretatie geven van de rechtstreeks werkende normen uit de AVG.