Tik, jij bent hem! Inleiding. Privacyaspecten van contactloos betalen. Elisabeth Thole, Eva de Vries en Vonne Laan7

Transcriptie

1 Tik, jij bent hem! Privacyaspecten van contactloos betalen Elisabeth Thole, Eva de Vries en Vonne Laan7 " Inleiding vondje uit? Dmertje, bioscoopje pakken en parkeerkosten Hoe ga je betalen? De chipknip verdwijnt eind dit jaar, dus chippen kan dan niet meer Pinnen of cash betalen kan natuurlijk altijd nog wel. Op steeds meer plekken kun Je tegenwoordig echter ook met Je srnartphone "even tikken" Dat wil zeggen je houdt je smartphone even bii de betaalterminal Op die rnanier kan Je eenvoudig en snel kleine. maar ook grotere bedragen afrekenen. Binnenkort zal het daarnaast zelfs mogelijk zijn om tegelijk Je klantenkaarten mee te laten uitlezen. Dus geen gehannes meer. Je hoeft niet meer op zoek in Je porternonnee naar net dat ene kaartje Tikken, mobiel betalen, of op zijn Engels "Tap and Pay", "Wave and Pay' danwel 'Swipen" zijn allemaal benamingen bedacht door de markt, om de nieuwe betaalmethode aan te duiden. Technisch gezien, is contactloos betalen (Contactless Payments) eigenlijk nog de beste benaming. Het kan niet alleen met Je smartphone, maar ook met je betaalpas, en je hoert een van beide alleen evert in de buurt van de betaalterminal te houden. Wanneer je een klein bedrag afrekent, is meestalook geen pincode meer nodig Dat maakt een transactio met contactloos betalen al gauw zeven seconden, oftewel 40%, sneller- Daardoor kan een gemiddelde supermarkt grofweg vier uur aan personeel per dag besparen. Minder personeel betekent minder kosten, terwijl Je als klant toch sneller wordt geholpen, en dat met nunder pasjes en mmder contant geld op zak Voor winkeliers kan de efficiëntieslaq en het gebruikersgemak ook impulsaankopen in de hand werken, hetgeen weer goed is voor hun omzet Bij contactloos betalen zijn verschillende partijen betrokken. In de eerste plaats natuurlijk de winkelier, ook wel de Merchant çenoemd. In de tweede plaats de bankinstellingen die het betalingsverkeer íaciliteren Dat zijn in ieder geval jouw bank (ele l De auteurs zijn advocaten bij Van Doorne N V te Amsterdam. Elisabeth is hoofd van het Van Doorne Privacy Team, en Eva en Vonne zijn lid van dit team. Elisabeth maakt samen met Arno Voelman (Bank- en Elfectenrecht) en Kees Stuurman (it) ook deel uit van net Van Doorne Team Innovatief Betaler). De tekst vaal deze bijdrage is afgesloten op ï september Zie: Ii?

2 Issuing Bank) en de bank van de winkelier (de Acquiring Bank) Verder zijn van belang de aanbieders van betaalterminals en de serviceverlening daaromheen (Payment Service Providers) Wanneer Je betaalt met je srnartphone zullen daarnaast ook jouw telecomprovicler (Mobile Network Operator, MNO), de leverancier van JOuw toestel en ele ontwikkelaars van (wallet) apps betrokken zijn. Om het betalingsverkeer te facìliteren. moeten deze partijen beschikken over jouw persoonsgegevens liet gaat om jouw uansactiegegevens, maar ook hebben ZII toegang tot bijvoorbeeld joui V locatiegegevens of gegevens over JOUW lievelingsproducten. Voor de bedrijven zijn deze persoonsgegevens goud waard.' Wanneer deze gegevens worden gecombineerd en geanalyseerd kunnen ele bedrijven klantprofielen opbouwen en gerichte aanbiedineen aan je doen. ZIJ zullen daarbij echter wel rekening moeten houden met de steeds strengere privacyreqels.' Waar kan ie contactloos betalen? Nederland is beslist geen early adaptor als het gaat om contactloos betalen. Deze innovatieve betaalwijze is wereldwijd al in ruim 50 landen mogelijk, waarvan 34 landen in Europa. Opvallend genoeg loopt Polen hierbij voorop. Daar is nu al een derde van de betalingen vervangen door contactloze transacties. In Nederland is het water getest met een grote proef in 2013: "Mobiel betalen in Leiden". Hieraan deden ongeveer consumenten mee en 150 ondernemers, zoals supermarkten, warenhuizen en horecagelegenheden. De proef was een initiatief van ABN Amro, ING en Rabobank in samenwerking met MasterCard, KPN en de gemeente Leiden. De resultaten van de proef waren positief: 78% van de consumenten was te spreken over het gemak van contactloos beta lens Inmiddels hebben ABN Amro en ING het contactloos betalen met de bankpas verder ontwikkeld, terwijl Rabobank zich is gaan richten op het betalen via de smartphone voorzien van NFC technologie. Ook andere banken zien de voordelen van contactloos betalen. Zo geeft Triodos Bank sinds december 2013 nieuwe passen uit die de mogelijkheid bieden van contactloos betalen. Dit voorjaar is KNAB eveneens begonnen met het uitgeven van de moderne variant van de betaalpas. Naar verwachting zullen de andere banken, zoals ASN Bank, RegioBank en SNS Bank, snel volqen." Intussen zijn in verschillende steden ook betaalterminals geschikt gemaakt voor contactloos betalen. Het gaat om meer dan betaalterminals. Deze staan niet a!leen 3 Zie ook: M. Hijink, De Appìe-portemonnee, NRC Handelsblad 30 juli Zie over het onderwerp contactloos betalen vanuit frnancreelrecbtelijk perspectief: JA Voerman, Toezrcht op aanbieders mobile wallets? Mobiel betalen vanuit een financieelrechtelijk perspeetiel. Tijdschrift voor Financieel Recht, nr. 5, Illel S Zie onder meer: E. van Keulen, Mobiel betalen. resultaten van de Leidse I\IFC -proef, Emerce, 29 januan aphic-leidsenfc-proet. 6 Consumentenbond, Mobiel ell Ccntectlooe beta/ell. wwwcollsuillentenbond.nl/tesiigeld-ven:ekenng/betalenen-sparen/betaalrekenincjelliextra/mobiel-en-contactioos-betalell. 63

3 op plekken waar in korte tijd veel transacties worden verricht, zoals op de NS stations en Schiphol, maar ook een winkelketen zoals Blokker heeft haar betaalterminals geschikt gemaakt voor contactloos betalen. H&M en IKEA beginnen dit jaar eveneens met contactloos betalen. En mogelijk staan we bij de Efteling straks ook korter in de rij dankzij de toegepaste innovatieve betaalmethode. Waar Je contactloos kunt betalen met NFC is te herkennen aan dit logo Strijd om de standaard Wat de technologie betreft, zijn momenteel vooral twee verschillende technieken in trek voor contactloos betalen: Near Field Communication (NFC) en Quick Response (QR). Near Field Communication Sinds 2000 wordt de NFC technologie in Nederland al toegepast, onder meer in de thuiszorg. Verder zullen veel consumenten deze technologie ook wel kennen van het gebruik van hun QV chipkaart. NFC is een variant op de Radio Frequency IDentification (RFID) technologie, een soort streepjescode die gebruik maakt van radioqolven.? Met de NFC technologie kan meer dan alleen het uitlezen van gegevens, Er is sprake van tweerichtingsverkeer. Naast het uitvoeren van (meer complexe) betaalopdrachten kan de techniek ook worden ingezet voor het uitlezen van klantenkaarten, cadeaubonnen, kortingsacties en andere diensten.? Als je met deze techniek met je smartphone wilt betalen, moet deze uitgerust zijn met een NFC chip. Deze kan in het toestel geïntegreerd zijn, of door middel van een sticker op het toestel worden aangebracht, en gecombineerd worden met een geschikte SIM kaart. Voor de betaling van met name hogere bedragen heb je soms nog een pincode 7 Zie ove: de privacy en ju: ic1ische aspecten V3n RFID onder rneer G.J. Zwenne/B. Schermer (red.), Studiecommissie I'NviR RFID, Ptivacy en ande: e jul idische aspecten van RFID: unieke identiùceue op afstand van producten en personell, 2005 Elseviel.Juridisch, 's-gravenhaqe; 8 In dij; verbanel is ook relevant clat nieuwe EU standaarden zijn overeenqekomen die gebl uikers val) HFiD chips en.. systemen helpen te vokioen aan vereisten op het gebied van bescheirmnq van persoonsqegevens. Zie pel sbericht vall de Europese Commissie van 30 juil 2014 htlpj/europa eu/rapid/press-release.u> _en.htm Zie ook: "Small chips with big potential New EU recommendations make sure 21 st century bar codes respect pi ivacy", European Commission - IP 09/740 van 12 mel 2009, htlp://eul'opa.eu/rap:d/press-releasejp-og..( 40_ en.htmvlocale=en. 64

4 nodig. Deze pincode kan je vooraf op je smartphone intoetsen, zodat je alleen nog de betaling hoeft te bevestigen. Op je smartphone kan je daarnaast ook een wallet epp (Wallet) installeren, die werkt als een soort elektronische portemonnee. Daarin bewaar je niet alleen je betaalpas, maar ook je klantenkaarten en tegoedbonnen. Eenvoudige, kleine transacties waarbij je geen gebruik maakt van een Wallet, kun je zelfs afrekenen wanneer je smartphone uit staat of wanneer je batterij leeg is. Wanneer soortgelijke contactloze techniek verwerkt is in je betaalpas, dan is dat herkenbaar aan een icoontje op de voorkant van de pas.? AI naar gelang de hoogte van de betalingen geldt ook hier dat soms het intoetsen van de pincode nog vereist kan zijn. Quick Response Sinds 2011 wordt de QR code, de zwart/wit geblokte code, ook steeds vaker gebruikt voor betaaltransacties. Door middel van een betaal app kun je de OR code gebruiken om een betaling te verrichten met je smartphone. je hebt dan geen aparte chip nodig. Voordeel voor de winkeliers is dat zij niet hun betaalterminal geschikt hoeven te maken. Afdoende is om de code zichtbaar te tonen, bijvoorbeeld op de factuur, zodat deze kan worden gescand. En de winnaar is... Weike van beide technieken uiteindelijk de standaard wordt, zal afhangen van de betrokken partijen. In Nederland lijken de meeste marktpartijen vooralsnog te hebben gekozen voor de NFC technologie, maar de OR code wint ook aan populariteit. De betaalpassen van ABN Amra en ING maken gebruik van de NFe contactloze techniek. Voor de nieuwe modellen smartphones van onder andere Samsung, HTC en Nokia is eveneens voor de NFe techniek gekozen. Ook het Android-besturingssysteem is ingericht op de NFe technologie. Daarnaast maken verschillende winkels, qeteqes en Google Wallet gebruik van de NFe technologie. Apple, die een belangrijke marktpositie inneemt, heeft daarentegen haar nieuwste mode!len vooralsnog niet uitgerust met de NFe techniek. Met deze toestellen kun je betalingen met de QR code verrichten. Volgens recente berichtgeving zal Apple evenwel mogelijk haar toekomstige toestellen ook gaan voorzien van de NFe technologie. Deze praktijkvoorbeelden laten zien dat op technologisch gebied meerdere wegen naar Rome leiden. Gelet op het feit dat in Nederland vooralsnog vooral de NFC techniek centraal lijkt te staan, zullen wij hierna vooral ingaan op het gebruik van deze vorm van contactloos beta!en met je smartphone. De te bespreken privacyaspecten zijn echter evenzeer van belang voor betalingen met je betaalpas en/of de toepassingen die gebruik maken van de OR code, en andere technieken. 9 Bij contactloos betalen met behulp van een betaalpas is strikt genornen geen sprake van j~fc technolome. I

5 Wettelijk kader - Bescherming_persoonsgggevens Zorgvuldige omgang met de persoonsgegevens van de consumenten zal, naast de techniek, evenzeer een bepalende factor zijn voor de vlucht die contactloos betalen gaat nemen.'? Wie persoonsgegevens verwerkt, moet zich onder meer houden aan de Wet bescherming persoonsgegevens (Wbp). Deze wet bevat de regels over het verwerken van persoonsgegevens en is een implementatie van de EU Privacyrichtlijn uit 1995n, Belangrijke uitleg over bepaalde begrippen uit de richtlijn, zijn te vinden in de opinies en adviezen van de zogenaamde Artikel 29 Werkgroep, het onafhankelijke advies orgaan van de Eurepese Commissie op privacy-aangelegenheden. Over contactloos betalen heeft deze werkgroep (nog) geen specifieke opinie afgegeven. Wel zijn er diverse opinies beschikbaar over algemene privacy-onderwerpen die ook relevant zijn voor de privacy toets van contactloos betalen, zoals opinies over de begrippen "persoonsgegevens", "anonimiseringstechnieken", "geo-iocatiediensten" en "doelbindinq"." Op Europees niveau liggen er momenteel voorstellen om de Privacyrichtlijn te vervangen door een A/gemene Privacy verordeninq." A/s deze verordening wordt aangenameri, vermoede/ijk rond 207 5/2Oì 6, brengt dat mee dat de Wbp en de privacywetten uit de andere EU lidstaten zullen opgaan in één Europese privacywet, die rechtstreeks van toepassing zal zijn. Deze nieuwe regelgeving zal meer privacy verplichtingen meebrengen en ook aanzienlijk hogere sancties. Va/gens de huidige voorstellen kunnen deze oplopen tot 5% van de wereldwijde jaaromzet van een onderneming of 100 miljoen euro, het hoogste van de twee. Bedrijven doen er verstandig aan om te kijken waar ze nu al vooruit kunnen lopen op de nieuwe verplichtingen. Persoonsgegevens en verwerkingshandelingen In navolging van de EU Privacyrichtlijn, bepaalt de Wbp dat persoonsgegevens alle gegevens zijn die direct of indirect herleidbaar zijn tot een natuurlijke persoon (de betrokkene). Bij contactloos betalen kan dat bijvoorbeeld je bankrekeningnummer, je telefoonnummer of het MAC adres van je smartphone (unieke code van je toestel) zijn, maar ook een combinatie van de gegevens rondom jouw transactie, zoals je locatie, de a ln een rapport uit rnaart '2013 signaleert de Federai Trade Commission (FTC) dat r» ivacy een van de beìançnjkste aandachtspunten VOOi' contactloos betalen IS. Zie FTC Staff I~epori Paper. Ptasuc... Qi' Mobile') FTC Workshop on Mobile Payments. rnaart Zie voor het US perspeenel verder ook: J Seivaclul ai, Legal.l\nr! Ethica! Besponsib.laies In Mobile Payment Privacy. lntemationa! Journal of SCielltlfrc & Technoloqv Research. Voi. 2. Issue 6. juni 2013: ww\'-! lístr.org/fllìal-prllltijulle20 13/Legal-And-Ethical-Responsibilities ln-mobile Payment-Privacy pdf vermeìöenswasro IS verder dat cie Italiaanse pnvacvtoezrchthouder Gai'al1te op 17 Juni 20i 4 een Resolu1,e (Doc ) uuqevaar digd heeft die regels stelt voor het vel werken van persoonsgegevens in het kader van contactloos betalingen. Zie: wwvi.italiancompii3nceforuilì.comf?p"g7. 11 Wet van 6 lull houdende regels mzake de bescherming V3n persoonsqeqevens (Wel besehelll1!rlrj persoonsqer.evens). en Richtlijn 95/46/EG vall het Europees Pailement en cie Raacl van 2~ oktober i 9% betreffende cie bescherminq van natuurlijke oersonen m verband met cie vel 'Nerlong van pel sconsqeqevens en belreffende het vrije VEI keel van die gegevens (Pb!:G nr l. 2m van 23 novembe. 1995). Zie verder ook: cie f-1lchtiljn ßeta81~iensten (Payment Service DII l'clive: PSD) (2007/f)4/EG). waal in verwezen wordt naar de Privacyuchuijn en de Ílel ziene Hlchtliln Elektronisch geld (ihe second Eìcctrornc Money Directive; 2EivlD) (2009/11 OlEG). 12 De Opimes van de Artikel 29 Werkgroep zijn te vinden op doclll1le'ntatlo,,!opinion-recommendatlo"!llldex_.eil.htlll 13 Zie. hltp://ec.europa.eu/jus\lce/data-plotection/. 66

6 datum en welke producten je gekocht hebt voor welke prijs. Zelfs zonder dat je naam bekend is, kan er sprake zijn van het verwerken van jouw persoonsgegevens, zolang de (gecombineerde) gegevens tot jou herleidbaar zijn. De verwerking van je persoonsgegevens bij contactloos betalen begint zodra je een telefoonabonnement neemt of een betaalrekening opent. Je persoonsgegevens worden dan verwerkt door je telecomprovider of je bank. Een volgend relevant moment waarop je gegevens worden verwerkt, is wanneer je smartphone of betaalpas gereed wordt gemaakt om contactloos betalen mogelijk te maken. Vervolgens worden er gegevens verwerkt zodra je gaat betalen. Dat levert een nieuwe gegevensverwerking op, waarbij niet alleen de bankinstellingen (en te!ecomprovider) betrokken zijn, maar ook de winkelier. Ook zullen jouw persoonsgegevens worden verwerkt voor het onderkennen of opsporen van fraude gepleegd met behulp van jouw smartphone of betaalpas. Ten slotte kunnen jouw persoonsgegevens worden verwerkt voor bijvoorbeeld marketing doeleinden of het voldoen aan wettelijke verplichtingen. AI deze verwerkingshandelingen moeten voldoen aan de algemene privacybeginselen: de eisen van dataminima!isatie, proportionaliteit en subsidiariteit. De eis van dataminimalisatie houdt in dat er niet meer gegevens mogen worden verwerkt dan noodzakelijk voor het doel waarvoor de gegevens worden verzameld. Bij het ptoportionaliteitsvereiste dient rekening gehouden te worden met de belangen van de betrokkene. Het houdt in dat de inperking van de belangen van betrokkene niet onevenredig mag zijn in verhouding tot het doel dat met de verwerking gediend wordt. Ten slotte brengt het subsidiariteitsvereiste mee dat als hetzelfde doel met andere minder ingrijpende middelen kan worden bereikt, die weg moet worden gevolgd. De drie beginselen worden hieronder nog uitgewerkt bij de (gerechtvaardigde) doeleinden en de rechtmatige grondslagen van de gegevensverwerkingen. Verantwoordelijke en bewerker De bedrijven betrokken bij het contactíoos betalen dienen te worden gekwalificeerd onder de Wbp als verantwoordelijke of bewerker om te kunnen bepalen wie welke privacyverplichtingen heeft. De belangrijkste verplichtingen uit de Wbp rusten op de verentveoordetljke. Dat is degene die het doel en de middelen van de gegevensverwerking bepaalt. Bij contactloos betalen zullen er meerdere verantwoordelijken betrokken zijn, die ieder persoonsgegevens voor eigen doeleinden verwerken. Aannemelijk is dat daarbij sprake is van zogenaamde gedifferentieerde verantwoordelijkheid. Dat houdt in dat ieder van de partijen zelfstandig verantwoordelijk is voor zijn eigen deel van de gegevensverwerking. Voor de betrokkene brengt dat mee dat hij elk van de verantwoordelijken kan aanspreken voor dat deel van de gegevensverwerking waarvoor de betreffende partij verantwoordelijk is. De rolverdeling tussen de betrokken partijen bij contactloos betalen, zal uiteindelijk moeten blijken uit de afspraken tussen partijen en op welke wijze zij hieraan feitelijk uitvoering hebben gegeven. fi7

7 Anders dan een verantwoordelijke verwerkt de bewerker de persoonsgegevens niet voor zichzelf, maar namens de verantwoordelijke en overeenkomstig diens instructies. Deze instructies mogen niet verder 'reiken dan gegevensverwerking die de verantwoordelijke zelf rechtmatig mag uitvoeren. Een partij kan ook VOOi' een deel van de gegevensverwerking verantwoordelijke zijn, en voor een ander deel bewerker. Doeleinden De Wbp vereist dat elke verwerking van persoonsgegevens in overeenstemming met de wet plaatsvindt. Daarbij dient de gegevensverwerking op behoorlijke en zorgvuldige wijze te geschieden, en mogen persoonsgegevens slechts worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Dit noemt men ook wel het principe van doe/binding. Enerzijds moeten de doeleinden uitdrukkelijk zijn omschreven. Anderzijds mogen de doeleinden bij verdere verwerking niet onverenigbaar zijn met het doel waarvoor de betreffende gegevens oorspronkelijk zijn verzameld. Partijen, doelbinding en hun rollen Hiervoor is reeds een aantal partijen genoemd die betrokken zijn bij contactloos betalen. Hieronder wordt uitgewerkt wat hun rol is of kan zijn, met het oog op de doeleinden van de gegevensverwerking. Winkeliers De winkelier zal als verantwoordelijke jouw gegevens voor het uitvoeren van de transactie verwerken. De gegevens waarover hij de zeggenschap heeft zijn onder meer een omschrijving van de transactie, de datum en het tijdstip van de transactie, het bedrag dat je moet afrekenen en je rekeninqnurnrner. De doeleinden waarvoor de winkelier je persoonsgegevens verwerkt, zijn het uitvoeren van de koopovereenkomst het afhandelen van de transactie en administratie. Daarnaast kunnen er ook afgeleide doeleinden worden geformuleerd, zoals het verbeteren van de dienstverlening of het bijhouden van het assortiment. Verder valt te denken aan direct marketing doeleinden. Banken Ook de banken zijn aan te merken als verantwoordelijken voor de gegevens die zij verwerken in het kader van contactloos betalen. Net als bij de winkelier zal het doel van de gegevensverwerking voor de banken in de eerste plaats het afhandelen van de verkooptransactie zijn. Daarnaast zijn gerelateerde doeleinden denkbaar, zoals het opsporen en tegengaan van fraude, maar ook valt te denken aan het doen van aanbiedingen. In maart van dit jaar is een initiatief van ING va/op in het nieuws çeweest." Deze bank wilde, met toestemming, de gegevens van zijn rekeninghouders inzetten voor het doen van aanbiedingen door derden. Betalingsverwerker Equens kwam vorig jaar met een vergelijkbaar l'l Zie ondei meer: Ii'iG houdt pi ìvacyqevoehqe p.oef met klantqeqevens, I~U.nl" i 4 maart 201 LI. ni/ eco I,amle!:l T220 l O/I ng houdt -pnva cygevoe I ige-p roef-met -kla nt gegeven s. hl mi.

8 plan. 15 Beide voornemens leidden tot veel commotie en uiteindelijk zelfs tot Kamervragen. 16 ING en Equens besloten om vooralsnog van hun plan af te zien. Nieuw waren hun ideeën niet, mogelijk wel lucratief Bank of America staat sinds 2072 derde partijen toe om op basis van betaaldata klanten advertenties aan te bieden. 17 Geschat wordt dat dit het bedrijf intussen 780 miljoen euro heeft opgeleverd en zijn klanten 78,2 miljoen euro aan besparingen. Banken zullen zich op privacygebied naast de Wbp moeten houden aan de Gedragscode Verwerking Persoonsgegevens Financiële lnstellinqen." Deze gedragscode vormt een sectorspecifieke uitwerking van de toepasselijke wettelijke bepalingen betreffende de verwerking van persoonsgegevens. Telecomproviders Wanneer je met je smartphone afrekent, dient deze als platform dat behulpzaam is aan de diensten van derden, zoals jouw bank. Net als bij andere apps die je op je smartphone gebruikt, heeft de telecomprovider een faciliterende ro! en biedt deze de infrastructuur aan waarover data kan worden verzonden. In die hoedanigheid kan de telecomprovider als bewerker optreden. Of de telecomprovider ook verantwoordelijke kan zijn, is afhankelijk van de (extra) diensten die worden aangeboden. Als je smartphone met NFC technologie is uitgerust, slaat je SIM kaart de applicatie op die gebruikt wordt om data te verzenden _.. ~_ ten behoeve van deze NFC technologie. De telecomprovider kan toegang daartoe hebben en persoonsgegevens verwerken. Ook door het aanbieden van een app die verschillende betaaldiensten integreert, kan de telecomprovider persoonsgegevens verwerken. Wanneer de telecomprovider zelf deze diensten aanbiedt en het doel en de middelen voor de gegevensverwerking bepaalt, is aannemelijk dat deze ook een verantwoordelijke in de zin van de Wbp is. Wat de doeleinden zijn, hangt af van de aangeboden dienst. Voor het veilig uitwisselen van gegevens tussen telecomproviders en banken of andere financiële instellingen kunnen zij Trusted Service Managers (TSM's) inschakelen. De TSM fungeert als tussenpersoon en kan ervoor zorgen dat de bank in opdracht van een telecomprovider toegang krijgt tot een gedeelte van de applicatie op de SIM kaart (Secure Element). De TSM van de telecomprovider kan in sommige gevallen ook er voor zorgen dat de toegang bij diefstal van je smartphone wordt geblokkeerd. Een TSM verwerkt persoonsgegevens ten behoeve van de bank of telecomprovider en zal daarom bewerker zijn in de zin van de Wbp. 15 Zie onder meer: Equens ziet voorlopig af van doorverkopen pingegevens klanten. NRC.nl, 24 rnaart 'NWW nrc.nl/rueuws/zûl 3/05/24/equens-zlet-voorloplg af-van-doof'verkopen-gegevens-pii1lfansacties. 16 Beantwoording Kamervragen inzake het plan voor verkoop pinqeqevens. 20 jun: alsmede Beantwoording Kamervragen van respectievebjk VVD en SP avei het beticht "ING geeft adverteerder inzicht I) klantqedraq". 8 april Zie: H. Boex, Wat mag ING rnet onze betaalueqevens doen? Zes vragen over het omstreden plan, HetParool. m/nl/30/ecoi~omie/art cle/deta11/ /20 l4/03/1l/wat mag-ing-met onzebetaalgegevens-doen-zes-vragen-over.. het-ornstrecen-plan.ohtrni 18 Zie _CJedragscode_rrn.aspx.

9 Aanbieders van de betaalterminals, Het is denkbaar dat er ook persoonsgegevens worden verwerkt wanneer de betaalterminal, de bijbehorende software en service daaromheen wordt aangeboden door een derde. Deze dienstverlening vindt plaats ten behoeve van de winkelier, en de aanbieder van de betaalterminal zal de persoonsgegevens uitsluitend verwerken in diens opdracht. Voor zover de aanbieder van de betaalterminal persoonsgegevens verwerkt, is aannemelijk dat hij bewerker is. Ontwikkelaars van apps Voor contactloos betalen met NFC is het niet noodzakelijk om een app te gebruiken. Wel kun je Wallet apps downloaden die de mogelijkheid bieden verschillende betaalpassen en klantenkaarten aan elkaar te koppelen. Wanneer een bank of telecomprovider een app laat ontwikkelen en beheren om het contactloos betalen te faciliteren, zal ook de ontwikkelaar bewerker zijn namens de bank of telecomprovider. Wallet apps worden inmiddels ook door andere partijen ontwikkeld dan banken of telecomproviders. Wanneer deze partijen zelf het doel en de middelen bepalen, kunnen zij als verantwoordelijken kwalificeren, bijvoorbeeld omdat zij gerichte advertenties plaatsen. Google heeft in 2077 in de VS de Google Wallet app gelanceerd. Hiermee kun je in veel winkels in de VS betalen door je credit cards, gift cards of royalty cards te koppelen aan je account. Het verdienmodel van Google zit in de advertenties die aan de gebruikers worden getoond. Afhankelijk van hoe Google de app verder zalontwikkelen - als platform voor betaalkaarten van derden of als aanbieder van eigen diensten - is Google aan te merken als verantwoordelijke of bewerker. Rechtvaardigingsgronden Naast doelbinding vereist de Wbp dat de gegevensverwerking gebaseerd is op een van de limitatief in de wet genoemde rechtvaardiqinqsqronden." Welke rechtvaardigingsgrond van toepassing is, hangt af van het soort gegevens dat wordt verwerkt en de doeleinden waarvoor de gegevens worden verwerkt. Uitvoering van de overeenkomsten met jou In de eerste plaats zullen veel van jouw persoonsgegevens mogen worden verwerkt op basis van de overeenkomsten die je sluit met respectievelijk de winkelier, je bank en je telecomprovider. Zo zal de winkelier jouw transactiegegevens mogen verwerken om de artikelen die je bij hem hebt gekocht te kunnen leveren. Op zijn beurt heeft jouw bank zich jegens jou verplicht om jouw transacties uit te voeren, waarvoor ook het verwerken van jouw transactiegegevens noodzakelijk is. En wanneer je een dienst afneemt bij je telecomprovider of wanneer je een app installeert, za! je hiervoor ook een overeenkomst sluiten op basis waarvan bepaalde gegevens van jou mogen worden verwerkt. Gerechtvaardigd belang Niet elke gegevensverwerking in het kader van het contactloos betalen is evenwel te herleiden tot een overeenkomst met jou. In die gevallen zal er een andere rechtvaar- 19 Artikel 8 wbp. 70

10 digingsgrond moeten worden gezocht. Als de verantwoordelijke (dus bijvoorbeeld de bank) kan aantonen dat de verwerking van jouw persoonsgegevens noodzakelijk is voor de behartiging van zijn gerechtvaardigd belang or van een derde aan wie de gegevens worden verstrekt, is het ook toegestaan om jouw gegevens te verwerken. Wel moet de verantwoordelijke daarbij aantonen dat zijn belang en/of dat van de derde prevaleert boven jouw privacybelang. Deze grondslag vereist aldus een afweging van de betrokken gerechtvaardigde belangen. Hierbij spelen zowel bedrijfsbelangen als particuliere belangen een rol. Voor het opsporen en bestrijden van fraude zullen jouw persoonsgegevens bijvoorbeeld met een beroep op deze rechtvaardigingsgrond mogen worden verwerkt. Wettelijke plicht De banken en de telecomproviders mogen jouw persoonsgegevens ook verwerken ter uitvoering van de op hen rustende wettelijke verplichtingen. Denk aan fiscale verplichtingen, maar ook aan specifiekere verplichtingen zoals ter uitvoering van de op de telecomprovider rustende meldplicht datalekken (zie hieronder) Ook ter uitvoering van de op de telecomprovider rustende bewaarplicht zal deze jouw verkeersgegevens (vooralsnog) moeten verwerken en bewaren. Oe EU Dataretentierichtlijn legt aan EU-lidstaten de verplichting op om ervoor zorg te dragen dat onder andere telecomproviders internetgegevens gedurende tenminste 6 en ten hoogste 24 maanden beschikbaar houden voor gebruik in het kader van strafvordering, inlichtingen en veiligheid20 De bewaarplicht is in Nederland geïmplementeerd in de Telecommunicatiewet. 21 Op 8 april207 4 heeft het EU Hof van Justitie echter de Dataretentierichtlijn ongeldig verkleerd." Daarmee zijn er serieuze twijfels ontstaan over de houdbaarheid van de beweerpticht." Toestemming Mocht er geen sprake zijn van een overeenkomst, gerechtvaardigd belang, of wettelijke verplichting, dan zullen jouw persoonsgegevens voor contactloos betalen alleen mogen worden verwerkt wanneer je daarvoor je ondubbelzinnige toestemming hebt gegeven. Zo zal de verantwoordelijke toestemming moeten vragen wanneer het gaat om een nieuwe verwerking, waarvoor nog geen andere grond bestond. Denk aan het gebruiken of delen van jouw locatie- of inkomensgegevens. Als daarnaast bijzondere persoonsgegevens worden verwerkt (zoals gezondheidsgegevens, bijvoorbeeld in geval van aankoop van medicijnen in een apotheek), is daarvoor je uitdrukkelijke toestemming vereist. 20 Hichthjn 2006/24/EG van 15 maart betreffende de bewaring vail gegeveils die ZIJil gegenereerd of verwerkt lil verband mei het aanbieden van openbaar beschikbare elektronische commumcaüediensten of van openhare oommunicatienetwerkcn ell tot wijzlglllg van Richtlijn 2002/58/[(3, Pb L 105/54 21 Zie: Wet bewaarplicht teìecomrmmicatieqeqevens. 22 EU I-lof van Justitie, Digital Rights Irelane! Ltd (C-293/12) tegen M!nister foi Communications, Iv\arme and Natural Resources et al. en K8f1ltnel t.anoesreqieruno (C-594/12) et al., 8 apri R. Zenger, Hoe lang houdt Teeven zijn vuile was binnen? 26 juni 2014, htlpsj/ 71

11 Overige privacyverplichtingen Naast het formuleren van doeleinden voor de gegevensverwerking en het hebben van een grondslag, gelden er nog diverse andere verplichtingen op grond van de Wbp. Informatieverplichting Op grond van de Wbp moet de verantwoordelijke jou informeren over de gegevensverwerkinq.> Dit omvat onder meer informatie over wie de verantwoordelijke is, voor welke doeleinden de gegevens worden verwerkt en wie toegang heeft tot de gegevens. De informatie moet steeds op begrijpelijke wijze worden verstrekt en raadpleegbaar blijven voor de betrokkenen. Door middel van een privacy statement op hun website kunnen de verantwoordelijken bijvoorbeeld voldoen aan hun informatieplicht. Banken kunnen deze informatie bovendien verstrekken wanneer je een rekening opent of een nieuwe bankpas aanvraagt. Op hun beurt kunnen telecomproviders de informatie versturen naar je smartphone, door middel van een (sms) bericht, of in de vorm van gebruiksvoorwaarden bij een app. Beveiliging Of contactloos betalen door de consument breed omarmd zal worden, staat of valt met de vraag of deze betaalmethode veilig is. Als iemand jouw contactloze betaalpas of jouw NFC geschikte smartphone vindt, kan diegene in principe geld van jouw rekening afschrijven. Dit zal echter beperkt blijven tot de limiet waarvoor jij contactloos betalen hebt ingesteld. Boven deze limiet blijft een PIN code noodzakelijk. Een ander veiligheidsrisico zit in de techniek. Geen enkele techniek is 100% veilig. Niet uitgesloten is dat fraude mogelijk is met bankpassen of smartphones die geschikt zijn voor contactloos betalen. Niet alleen de transactie dient veilig te worden verricht, dat geldt evenzeer voor de gegevensverwerking. De Wbp schrijft voor dat de verantwoordelijke passende technische en organisatorische maatregelen ter beveiliging van de persoonsgegevens moet treffen." Criteria die hierbij een rol spelen zijn de aard van de persoonsgegevens, de stand van de techniek en de kosten die gemoeid zijn met de te treffen maatregelen. In 2013 heeft het College bescherming persoonsgegevens (CBP, de privacy toezichthouder) Richtsnoeren gepubliceerd die bedrijven houvast moeten bieden bij de wijze waarop zij invulling dienen te geven aan de beveiliqinqseis.ë Daarin staat onder meer dat financiële gegevens als gevoelige gegevens worden aangemerkt. De partijen betrokken bij het contactloos betalen zullen alert moeten omgaan met de beveiligingseisen. Bij het opstellen van de veiligheidseisen is een balans tussen veiligheid, snelheid en gebruiksgemak gevraagd. Authenticatiemechanismen voor betalingstransacties moeten bij aanvang van de betalingstransactie de nodige maatregelen omvatten om te voldoen aan de eisen inzake gegevensbescherming. Het aantal partijen dat toegang 24 Artlkelen33 en 34 VVbp 25 Ilrtikel 13 Wbp. 26 Zie httpj/ nl/downloadsjslrs_2013_richtsnoeren-beveiliging-persoonsgegevens.pdf Kritisch hierover: E.P.M Thole, CBP maakt het bedrijven lastig aan pnvacyreçels te volooen, Het Financieeie Dagblad 16 maart 2013, com/global/puljlicaiies/20l3/l %20FD%20CBpoó20P vacy%20et. pdf 72

12 heeft tot deze authenticatiegegevens dient bijvoorbeeld beperkt te zijn tot partijen die strikt noodzakelijk zijn voor de uitvoering van de betaaltransactie. Datalekken In het verlengde van de beveiliging ligt het risico op datalekken. De Telecommunicatiewet (Tw) kent nu al een meldplicht datalekken voor telecomproviders." Zij zijn verplicht inbreuken op de beveiligingsmaatregelen te melden aan de Autoriteit Consument & Markt (ACM), indien deze inbreuk nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Melding aan de betrokkenen is verplicht als de inbreuk waarschijnlijk nadelige gevolgen zal hebben voor hun privacy. Op grond van het Wetsvoorstel Meldplicht Datalekken zal de meldplicht datalekken ook gaan gelden voor andere verantwoordelijken." Een nieuw toe te voegen artikel 34a Wbp verplicht de verantwoordelijke datalekken te melden aan het CBP en aan de betrokkenen. Een datalek moet worden gemeld indien redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen. Staatssecretaris Teeven (Veiligheid en Justitie) heeft het wetsvoorstel Meldplicht Datalekken recentelijk afqezwakt." Het aangepaste wetsvoorstel bepaalt nu dat alleen datalekken met ernstige nadelige gevolgen moeten worden gemeld. Sluiten van bewerkersovereenkomsten De verantwoordelijken zijn vcrplicht om met elke bewerker een schriftelijke bewerkersovereenkomst af te sluiten." Partijen moeten hierin onder meer overeenkomen dat de bewerker de persoonsgegevens alleen mag verwerken conform de instructies van de verantwoordelijken en niet voor eigen doeleinden. Daarnaast moet de bewerkersovereenkomst voldoende waarborgen bieden ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de verwerkingen. In zijn Richtsnoeren voor de beveiliging van persoonsgegevens noemt het CBP een aantal zaken waarmee het CBP rekening houdt bij de beoordeling van een bewerkersovereenkomst, zoals een omschrijving van de dienstverlening van de bewerker, de betrouwbaarheidseisen die op de verwerking van toepassing zijn, afspraken over de genomen beveiligingsmaatregelen, transparantie over opgetreden beveiligingsincidenten en afspraken over het al dan niet toestaan van verwerking door subbewerkers. Bewaartermijn Persoonsgegevens mogen als hoofdregel niet langer worden bewaard dan noodzakelijk voor de doeleinden waarvoor ze worden verwerkt." De bewaartermijn kan vervolgens per doeleinde verschillen. Ook hier komen de beginselen van elata minimalisatie, proportionaliteit en subsidiariteit om de hoek kijken. In overeenstemming met het Vrijstellingsbesluit dat hoort bij de Wbp zullen klantgegevens als vuistregel maxi- TI /~rtikel 11.3a Tw 28 Zie i<anlerstukken Zie Nota van Wijziging bescherrrunq persoonsgegevens l Ci april httpi/wwwrrjksoverheid.nl/ clocumenten-en publicatìes/brieven/20 14/04/1 ï/llo\a-ve>n-wijzigil,g bescherming-pel soonsgegev. 30 Artikel 14 wbp 31 I\rtikel 10 Wbp. 7':!

13 maal twee jaar na het einde van de overeenkomst mogen worden bewaard." Hieruit volgt dat de Wbp maximale bewaartermijnen kent. Dat wil zeggen dat de persoonsgegevens niet langer dan de gestelde termijn mogen worden bewaard, tenzij op basis van andere regelgeving (bijvoorbeeld ter nakoming van fiscale verplichtingen) een minimumbewaartermijn geldt. Melding bij het CBP De verwerking van persoonsgegevens moet door iedere verantwoordelijke in principe worden gemeld bij het CBP of bij een interne Functionaris Gegevensbescherming, tenzij er een beroep op een vrijstelling van de meldingsplicht kan worden qedaan." In het kader van contactloos betalen zijn diverse vrijstellingen denkbaar. Zo gelden bijvoorbeeld vrijstellingen voor het verwerken van klantgegevens en communicatiebestanden. Er zal steeds aan alle voorwaarden van de betreffende vrijstelling moeten worden voldaan. Bij twijfel is het raadzaam om tot melding over te gaan. Doorgifte buiten de EER Indien je persoonsgegevens door de verantwoordelijken worden doorgegeven, daaronder is ook begrepen het toegankelijk maken van je persoonsgegevens, naar landen buiten de Europese Economische Ruimte (EER), gelden aanvullende verplichtingen. Het hangt van de vestigingsplaats van de ontvanger(s) van de persoonsgegevens en de doeleinden van de doorgifte af, aan welke verplichtingen moet worden voldaan." Rechten van betrokkenen Op basis van de Wbp heb je als betrokkene ten slotte bepaalde rechten, zoals recht op inzage, correctierecht en het recht van verzet." Verantwoordelijken moeten jou de mogelijkheid bieden om toegang te krijgen tot jouw persoonsgegevens om te kunnen controleren of deze juist zijn en te corrigeren wanneer dat niet het geval is. Daarbij heb je ook het recht de gegevens te (laten) verwijderen. Wanneer je gegevens op basis van een gerechtvaardigd belang van de verantwoordelijke of een derde worden verwerkt, heb je bovendien het recht je te verzetten tegen de verwerking van jouw persoonsgegevens wegens persoonlijke omstandigheden. 32 Besluit van 7 mel 200 I, houdende aanwijzing van verwerkingen van persoonsgegevens die zijn vrijçjesteld VGn de melding bedoeld In artikel 2T van de Wet bescherming persoonsgegevens (Vnjstellmqsbesnnt \'Vbp). 33 Artikel 2ï Wbp. 34 Artikelen 7ó e.v Wbp. 35 Artikel 35 e.v. Wbp 7A

14 Afsluitende opmerkingen Contactloos betalen lijkt een ontwikkeling te zijn waarbij wij nog maar aan het begin staan van de mogelijkheden die de technologie gaat bieden. Vanwege de steeds strengere privacy regelgeving en ook de grotere bewustwording op dit gebied, is het evenwel zaak dat alle betrokken partijen op zorgvuldige wijze blijven omgaan met de persoonsgegevens van de consumenten. Als consument hebben wij immers niet alleen behoefte aan een veilig betalingsverkeer, maar willen we ook weten wat er met onze persoonsgegevens gebeurt. Je geld kan je maar één keer uitgeven. Dat geldt ook voor je identiteit: deze kan je ook maar één keer prijsgeven.