Preview document (🔗 origineel)

---

No.W06.17.0313/III 's-Gravenhage, 4 oktober 2017

...................................................................................

Bij Kabinetsmissive van 3 oktober 2017, no.2017001686, heeft Uwe Majesteit, op voordracht van de Minister van Financiën, mede namens de Minister van Veiligheid en Justitie, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet tot wijziging van de Wet op het financieel toezicht en het Burgerlijk Wetboek ter implementatie van richtlijn nr. 2015/2366/EU van het Europees Parlement en de Raad van 25 november 2015 betreffende betaaldiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG (PbEU 2015, L 337) (Implementatiewet herziene richtlijn betaaldiensten), met memorie van toelichting.

Het wetsvoorstel implementeert Richtlijn 2015/2366/EU (“PSD II” of “de richtlijn”) door wijziging van onder andere de Wet op het financieel toezicht (Wft). PSD II vervangt Richtlijn 2007/64/EG (PSD I), en bevat een groot aantal wijzigingen op die richtlijn. Zo is de reikwijdte vergroot, is de lijst met betaaldiensten waar de richtlijn betrekking op heeft uitgebreid met betaalinitiatie- en rekeninginformatiediensten, zijn nieuwe vergunningsvereisten geïntroduceerd en specifieke bepalingen met betrekking tot gegevensbescherming opgenomen.

De Afdeling advisering van de Raad van State adviseert het voorstel aan de Tweede Kamer te zenden, maar maakt een opmerking over de grondslag van de algemene maatregel van bestuur waarin regels over persoonsgegevensbescherming zullen worden geïmplementeerd.

1. Bescherming van persoonsgegevens

De verlening van betaaldiensten kan de verwerking van persoonsgegevens met zich mee brengen. Hierop zijn in beginsel de algemene regels ter bescherming van persoonsgegevens van toepassing, zoals neergelegd in de spoedig in werking tredende Algemene verordening gegevensbescherming (AVG¹).² Ten aanzien van betaaldiensten schrijft PSD II specifiek voor dat betalingsdienstaanbieders enkel met uitdrukkelijke toestemming van de betalingsdienstgebruiker toegang mogen verkrijgen tot persoonsgegevens die noodzakelijk zijn voor het aanbieden van hun betalingsdiensten, en het verwerken en bewaren daarvan.³ Daarmee biedt PSD II de betalingsdienstgebruikers extra waarborgen ten opzichte van het algemene regime. Het toezicht van De Nederlandsche Bank (DNB) op de naleving van deze bijzondere regels in het kader van de Wft laat uiteraard onverlet dat de Autoriteit Persoonsgegevens toezicht houdt op het algemene gegevensbeschermingsrecht. In de toelichting merkt de regering terecht op dat beide toezichthouders over de uitoefening van deze toezichthoudende taken onderling afspraken kunnen maken.⁴ Dergelijke afspraken in het kader van onderlinge coördinatie tussen toezichthouders zijn van wezenlijk belang. Dit is bovendien een gebruikelijke gang van zaken om onnodige administratieve lasten voor de onder toezicht staande instellingen te voorkomen.

Uit de toelichting van het wetsvoorstel blijkt dat het criterium van uitdrukkelijke toestemming zal worden geïmplementeerd bij algemene maatregel van bestuur. Daartoe zou het bestaande artikel 3:17, tweede lid, van de Wft toereikend zijn.⁵ Dat artikel geeft echter weliswaar een grondslag voor het stellen van nadere regels met betrekking tot (onder meer) betaalinstellingen, maar bevat geen specifieke grondslag voor wat betreft (bescherming van) persoonsgegevens.⁶

De Afdeling adviseert in het licht van het vorenstaande dragend te motiveren dat artikel 3:17, tweede lid van de Wft voldoende grondslag biedt ter implementatie van het vereiste van uitdrukkelijke toestemming, of, indien daarin niet kan worden voorzien, alsnog te voorzien in die grondslag.

2. De Afdeling verwijst naar de bij dit advies behorende redactionele bijlage.

De Afdeling advisering van de Raad van State geeft U in overweging het voorstel van wet te zenden aan de Tweede Kamer der Staten-Generaal, nadat met het vorenstaande rekening zal zijn gehouden.


De waarnemend vice-president van de Raad van State,

Redactionele bijlage bij het advies van de Afdeling advisering van de Raad van State betreffende no.W06.17.0313/III

• Het eerste artikel VI te vernummeren tot artikel V.

• In artikel 2:106a expliciet opnemen dat de bevoegde autoriteiten onverwijld in kennis worden gesteld van de in artikel 28, vierde lid van de richtlijn bedoelde wijzigingen.

• In de transponeringstabel uitdrukkelijk vermelden dat artikel 106, derde en vierde lid worden uitgevoerd bij algemene maatregel van bestuur.

• De transponeringstabel verduidelijken door per lid en onderdeel van richtlijnbepalingen aan te geven waar deze nationaal worden of reeds zijn geïmplementeerd en de grondslagbepaling telkens te vermelden waar implementatie wordt voorzien bij lagere regelgeving.

---

1. Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), PB 2016, L 119.↩︎

2. Zie overweging 89 van de richtlijn, waarin wordt verwezen naar de thans nog geldende Richtlijn 95/46/EG.↩︎

3. Artikel 94, tweede lid, van de richtlijn.↩︎

4. Memorie van toelichting, paragraaf 3, onder 10.↩︎

5. Memorie van toelichting, paragraaf 10 en de transponeringstabel.↩︎

6. De bepaling voorziet daarentegen in de meer algemene grondslag voor regels betreffende (onder meer) het beheersen van bedrijfsprocessen en bedrijfsrisico’s, integriteit, de soliditeit van de financiële onderneming.↩︎