De AVG consultant en PSD2
Na een jaar waarin de AVG consultant volop in het nieuws was dankzij de nieuwe privacy wetgeving, staat een nieuwe privacygevoelige uitdaging voor de deur. PSD2 is de naam en veel IT experts krijgen er volop mee te maken.
Van AVG naar PSD2
De AVG consultant was er maar druk mee het afgelopen jaar. De invoering van de Algemene Verordening Gegevensbescherming was binnen veel organisaties zeker geen abc’tje. Veel meer dan voorheen moet duidelijk zijn welke persoonlijke informatie is opgeslagen en waarom eigenlijk. Ook de goedkeuring van de klant voor de verwerking van zijn gegevens moet van begin tot eind zijn georganiseerd en gedocumenteerd. Terwijl de IT systemen de privacy ‘by design and by default’ moeten ondersteunen. Menig AVG consultant heeft in 2018 avonden of weekends mogen overwerken om het allemaal geregeld te krijgen.
Het is ook voor niemand een verrassing dat met het passeren van de AVG deadline het werk er nog niet opzit. Niet alleen omdat natuurlijk niet alles direct perfect geregeld is. Maar ook omdat de markt niet stil staat en zijn er steeds nieuwe privacy vraagstukken bijkomen. Zo heb je je als AVG consultant misschien al moeten verdiepen in de Europese PSD2 richtlijn.
Volop nieuwe diensten met PSD2?
PSD2 staat voor Payment Services Directive 2. Dankzij PSD2 kunnen bedrijven hun klanten om directe toegang tot hun bankrekeningen en betaalgegevens vragen. Dat maakt allerlei nieuwe diensten mogelijk. Zo kun je een leverancier toestemming geven om rechtstreeks een bedrag van je rekening te innen zonder gebruik te maken iDEAL of creditcard. Ook is er ruimte voor allerlei informatie- en ‘kasboek-achtige’ diensten waarmee consumenten en bedrijven hun financiën beter kunnen organiseren. En dienstverleners zoals hypotheekbemiddelaars kunnen een persoonlijk aanbieding op maat doen op basis van iemands actuele inkomsten- en bestedingspatroon. Ook zorgverleners zijn creatief aan het nadenken over de mogelijkheden van PSD2. Er zijn allerlei diensten denkbaar waarbij het toverwoord vaak ‘snelheid en gemak’ is, maar waar de AVG consultant ongetwijfeld privacy issues ziet.
PSD2 vraagstukken voor de AVG consultant
Want uiteraard is privacy juist bij financiële diensten cruciaal. De mogelijkheden van PSD2 zijn krachtig, maar tegelijkertijd moet alles wat we ermee doen wel conform de AVG richtlijnen gebeuren. En wat mag er dan precies wel en niet? Het is natuurlijk mooi dat een zorgverzekeraar zijn klanten kan helpen bij het organiseren van de zorgkosten. Maar mag dat bedrijf dan ook iets doen met de wetenschap dat de klant nooit iets uitgeeft aan sportspullen en driewekelijks 20 euro pint bij de snackbar om de hoek? Hoe zien de ‘Chinese walls’ binnen organisaties eruit om oneigenlijk gebruik te voorkomen?
Voor alle betrokkenen is het nieuw terrein. Experts als Bart Jacobs, hoogleraar computerbeveiliging in Nijmegen, waarschuwen dat we nog maar weinig zicht hebben op de daadwerkelijk privacy impact van PSD2. Jacobs maakt zich niet eens zozeer zorgen om een lokale aanbieder van een digitaal kasboekje, maar wel over wat de Googles en Facebooks van deze wereld met PSD2 allemaal gaan doen. Ook minister Hoekstra gaf bij de behandeling van PSD2 in de kamer aan dat er op dat vlak nog wel wat te evalueren valt de komende tijd. Hij noemt het onderwerp ‘terra incognita’ en stelt:
Voor die privacy komen we met een hele bak aan waarborgen maar of die goed genoeg zijn, zal de praktijk ons moeten leren. Dus ik ben zeer voor een evaluatie.
Meestal gebruikt een politicus meer omfloerste termen om te zeggen dat hij het ook allemaal nog niet weet.
Kortom, werk genoeg voor de AVG consultant
Privacy en databescherming zijn al heel lang geen ‘side issue’ meer binnen organisaties. Voor de AVG consultants – en zij die dat willen worden – is het boeiend om te zien dat het onderwerp nog volop in ontwikkeling is. De AVG stofwolken zijn nauwelijks opgetrokken nu de markt volop met PSD2 en andere ontwikkelingen aan de slag gaat. Boeiende onderwerpen waar de AVG consultant zich in moet verdiepen. Tijd dus om je horizon weer eens te verbreden en je AVG kennis op andere plaatsen nuttig te maken? Check dan even ons opdrachtenoverzicht. En meld je uiteraard even aan bij HeadFirst.