Twinkle | Digital Commerce

Datawetten in 2018: goede voornemens

2018-05-17
1000562
  • 4:12

Twee grote ontwikkelingen op het gebied van Europese regelgeving sluimeren onder het oppervlak. In 2018 komen ze naar boven: PSD2 en AVG. De één belooft de gevestigde orde in betaaldienstverlening open te breken, de ander schermt de privacy van de consument af door het opwerpen van muren rondom persoonlijke gegevens. Aan welke belangrijke zaken moet je denken om in het nieuwe jaar voorbereid te zijn op beide wetten?

De hernieuwde betaalregelgeving Payment Service Directive 2 schrijft voor dat alle Europese banken bedrijven toegang moeten verschaffen tot de betaalrekening van de consument, indien die daar toestemming voor geeft. De Algemene Verordening Gegevensbescherming, internationaal aangeduid als General Data Protection Regulation (GDPR), beschermt diezelfde consument tegen privacyschending door verwerking van persoonsgegevens aan banden te leggen. De gemene deler: data. Volgens de planning wordt PSD2 in januari van kracht; AVG volgt rond mei. In de vier actiepunten hieronder beginnen we bij de AVG.

1. Check je privacyverklaring

‘Elke onderneming zal de privacyverklaring moeten gaan uitbreiden’, stelt jurist Charlotte Meindersma. ‘Transparantie en duidelijkheid zijn heel belangrijk en de AVG stelt daar extra eisen aan. Bovendien moet het voor iedereen te begrijpen zijn, dus geen gedoe met jargon. Er moet bijvoorbeeld in staan voor welk doel de gegevens bewaard worden en dat mensen het recht hebben op inzage en wijziging van hun persoonsgegevens. Het is gelukkig niet meer nodig om verwerkingen te melden bij de Autoriteit Persoonsgegevens, maar als ze ernaar komen vragen, moet de onderneming wel veel kunnen vertellen over welke informatie er verzameld wordt, waarom, hoe lang, hoe ze beveiligd worden en meer van dat soort zaken. Voor webwinkels met minder dan 250 werknemers, die geen bijzondere gegevens verzamelen, zal het niet snel verplicht zijn om zo'n intern privacybeleid op te stellen, maar het is wel verstandig voor elke ondernemer om dit te hebben zodat hij aan de verantwoordingsplicht kan voldoen.’ Thuiswinkel.org-jurist Vincent Romviel specificeert: ‘De privacyverklaring moet bij voorkeur op elke pagina van je website via een directe link te vinden zijn en omvat onder andere informatie over beleid en gebruik van cookies en van webanalyse, beleid voor e-mail en het verkrijgen of verstrekken van gegevens van of aan derden.’

2. Controleer de beveiliging van je site

Niet alleen moet je dergelijke privacy-bepalingen expliciet en helder op schrift stellen, ook moeten bezoekers die hun gegevens achterlaten, dat via een beveiligde verbinding kunnen doen, zo vereist de AVG. Meindersma: ‘Niet nieuw, maar eigenlijk het belangrijkste van alles is dat de persoonsgegevens goed beveiligd worden. Niemand wil dat die op straat komen te liggen. Zorg dus voor een SSL-verbinding op je website, waar de gegevens bij de bestelling worden ingevuld. Kies bij voorkeur een hosting provider in de EU en met servers in de EU, waar de gegevens opgeslagen kunnen worden.’

Wat veilig is en wat niet, is ook bij de invoering van PSD2 van belang. Daartoe werken de Europese Unie en de Europese Bankautoriteit (EBA) momenteel aan de Regulatory Technical Standards (RTS), die technologische randvoorwaarden op veiligheidsgebied vastleggen. ‘Ervan uitgaande dat het kader van technische standaarden in hoge mate veiligheid biedt: zie de PSD2 niet als bedreiging, maar als kans’, adviseert Wilko Bolt, professor Payment Systems aan de VU en senior economist bij DNB. ‘Een recent voorbeeld om tot veilige technische standaarden te komen, is dat screenscraping verboden wordt: je mag niet zomaar gegevens van internet “afschrapen”, dat moet lopen via de interface van een bank. Het kan best zijn dat er nu partijen op de betaalmarkt komen die diensten kunnen leveren die misschien wel efficiënter of zelfs goedkoper zijn dan traditionele banken. Aan de andere kant liggen er vraagstukken over de veiligheid en transparantie; het gaat uiteindelijk over de overdracht van betaalinformatie en rekeninginformatie van klanten door banken aan derde partijen. Daar moet vertrouwelijk en zo veilig mogelijk mee omgegaan worden.’

3. Vraag om toestemming en leg uit

‘Je moet als winkelier heel transparant naar je klant zijn’, benadrukt Bolt. ‘Als je wilt dat hij toestemming geeft voor andere betaaldienstverleners dan banken, moet de inzet daarvan heel duidelijk zijn voor de online winkelende klant. Vraag expliciet om toestemming en vermeld wat daar de garanties en voorwaarden voor zijn. Een klant heeft heldere uitleg nodig om een goede betaalkeuze te kunnen maken.’ Het vragen van een bijdrage bij de keuze voor een bepaald betaalmiddel is daarbij niet langer toegestaan, herinnert Just Hasselaar, beleidsadviseur Digitale Transacties bij Thuiswinkel.org: ‘Zorg dat je na de invoering van PSD2 geen extra kosten in rekening brengt voor de meeste credit- of debetkaartbetalingen.’

4. Heroverweeg jouw betaaldienstverlener – of word er zelf één

Bolt: ‘Heel grote webwinkels als Amazon, bol.com of Zalando kunnen overwegen om zelf een vergunning aan te vragen als payment service provider (PSP) en betaalzaken zelf gaan doen. Dan krijgen ze nog directer contact en kunnen ze klantgedrag koppelen aan betaalgedrag, dat is natuurlijk optimaal. Vooral Amazon wil de betaalmarkt erg graag betreden. Lang niet elke webwinkel kan natuurlijk transformeren naar een PSP. Wie dat niet kan, zal een plan moeten bedenken of hij van bank of dienstverlening verandert. PSD2 gaat over het creëren van innovatie en concurrentie in het betalingsverkeer. Dat moet je als webwinkelier omarmen. Het betreft niet alleen concurrentie van meer spelers in de markt; die spelers moeten aan hoge eisen voldoen en als die condities goed gewaarborgd zijn, zal de tijd leren of het nieuwe systeem werkt. Dan heb je als winkel een breder speelveld.’