Verslag van een schriftelijk overleg : Verslag van een schriftelijk overleg over het ontwerp Implementatiebesluit herziene richtlijn betaaldiensten
34 813 Wijziging van de Wet op het financieel toezicht, de Wet bekostiging financieel toezicht, het Burgerlijk Wetboek en de Wet handhaving consumentenbescherming ter implementatie van richtlijn nr. 2015/2366/EU van het Europees parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG (PbEU 2015, L 337) (Implementatiewet herziene richtlijn betaaldiensten)
Nr. 27
VERSLAG VAN EEN SCHRIFTELIJK OVERLEG
Vastgesteld 14 november 2018
De vaste commissie voor Financiën heeft een aantal vragen en opmerkingen voorgelegd
aan de Minister van Financiën over de brief van 17 september 2018 over het ontwerp
Implementatiebesluit herziene richtlijn betaaldiensten (Kamerstuk 34 813, nr. 26).
De vragen en opmerkingen zijn op 10 oktober 2018 aan de Minister van Financiën voorgelegd.
Bij brief 13 november 2018 zijn de vragen beantwoord.
De voorzitter van de commissie, Anne Mulder
De griffier van de commissie, Weeber
Vragen en opmerkingen vanuit de fracties en reactie van de Minister
Vragen en opmerkingen van de leden van de fractie van de VVD
De leden van de VVD-fractie lezen in de brief van de Minister dat als extra eis wordt
opgenomen dat een betaaldienstverlener expliciete toestemming nodig heeft van de rekeninghouder
voor de toegang tot persoonsgegevens. In het ontwerpbesluit onder kopje 3.3 lezen
de leden van de VVD-fractie echter niet hoe deze expliciete toestemming wordt vormgegeven.
Kan de Minister hier een voorbeeld van geven? Hoe waarborgt de Minister dat de betaaldienstgebruiker
ook daadwerkelijk begrijpt waarvoor hij toestemming verleent?
Het eerste moment waarop PSD II uitdrukkelijke toestemming vereist voor betaaldienstverlening
is bij de toegang tot de persoonsgegevens die noodzakelijk zijn om de betaaldienst te kunnen verlenen. Het gaat dan om toestemming
om deze persoonsgegevens te kunnen verwerken en bewaren. De precieze invulling in
de praktijk van dit uitdrukkelijke toestemmingsvereiste wordt door de Autoriteit Persoonsgegevens
(AP) vormgegeven in samenspraak met DNB.
De AP heeft op 18 oktober jl. Q&A’s gepubliceerd op haar website waarin zij onder
meer voor betaaldienstverleners verduidelijkt waar «uitdrukkelijke toestemming» aan
moet voldoen. De eis van uitdrukkelijke toestemming houdt onder meer in dat een betaaldienstverlener
afzonderlijk van de andere onderdelen van een overeenkomst om toestemming vraagt aan iemand om toegang te krijgen tot zijn of haar persoonsgegevens. In een
digitale omgeving kan dat bijvoorbeeld in de vorm van een apart venster. Daarin kan
de consument dan aangeven dat hij toestemming geeft voor toegang tot zijn of haar
persoonsgegevens. De manier waarop uitdrukkelijke toestemming wordt gevraagd moet
vrij zijn, ondubbelzinnig, geïnformeerd en specifiek. Vrij in de zin dat geen sprake mag zijn van druk om toestemming te verlenen. De
betaaldienstgebruiker moet de toestemming dus kunnen weigeren en mag daar geen nadeel
van ondervinden. Ondubbelzinnig betekent dat de toestemming een actieve handeling
dient te zijn; stilzwijgende toestemming of voor-aangevinkte vakjes zijn niet toegestaan.
Met geïnformeerd wordt bedoeld dat het verzoek om toestemming gepaard moet gaan met
voldoende informatie over de gegevensverwerking en in duidelijke en eenvoudige taal
moet worden gepresenteerd. Onder specifiek wordt tenslotte verstaan dat de toestemming
steeds moet gelden voor een specifieke verwerking en een specifiek doel, bijvoorbeeld
voor het initiëren van betalingstransacties. Indien de betaaldienstverlener de persoonsgegevens
voor een ander doel wil gebruiken, moet hij hier opnieuw toestemming voor vragen.
Tot slot moet de betaaldienstgebruiker zijn toestemming ook weer in kunnen trekken,
op een manier die net zo makkelijk is als het geven van de toestemming. Vóórdat de
betaaldienstgebruiker toestemming geeft, dient hij te worden geïnformeerd over zijn
recht om de toestemming weer in te kunnen trekken. Deze vereisten zorgen er voor dat
de consument daadwerkelijk kan begrijpen waarvoor hij toestemming verleent.
Nadat een betaaldienstverlener een overeenkomst heeft gesloten met de betaaldienstgebruiker
is er nog een tweede moment waarop PSD II uitdrukkelijke toestemming vereist voor
betaaldienstverlening, namelijk voor de toegang tot de betaalrekening die nodig is om de betaaldienst te kunnen verlenen. Bij betaalinitiatiediensten moet
de betaaldienstgebruiker uitdrukkelijke toestemming verlenen voor het initiëren van
elke afzonderlijke betaling. Ook voor het verlenen van rekeninginformatiediensten
is toegang tot de betaalrekening nodig. In beide gevallen krijgt de betaaldienstverlener
deze toegang doordat de klant zich via sterke cliëntauthenticatie identificeert jegens
de betaaldienstverlener. Zie voor een verdere toelichting op sterke cliëntauthenticatie
het antwoord op vraag 8.
De leden van de VVD-fractie lezen in de brief van de Minister dat het streven is om
het besluit tegelijk met het wetsvoorstel eind 2018 in werking te laten treden. Hoe
gaat de Minister voorkomen dat dit vertraging oploopt, gezien de geschiedenis met
vertragingen in de implementatie van deze Europese richtlijn?
Ik streef er naar verdere vertraging van het wetsvoorstel en dit onderliggende besluit
zoveel mogelijk te beperken. Dit is uiteraard mede afhankelijk van de behandeling
in de Eerste Kamer van het wetsvoorstel. De beantwoording van de schriftelijke vragen
van de Eerste Kamer in het voorlopig verslag over het wetsvoorstel wordt ongeveer
gelijktijdig met de beantwoording in dit schriftelijk overleg verzonden aan de Eerste
Kamer. Na de afronding van de voorhang van het besluit zal het ter advisering aan
de Afdeling Advisering van de Raad van State worden verzonden. Mijn streven is het
wetsvoorstel en het besluit dit jaar in werking te laten treden.
De leden van de VVD-fractie lezen dat er voor de rekeninghoudende betaaldienstverlener
geen twijfel mag bestaan over de uitdrukkelijke toestemming, maar dat hij op grond
van de richtlijn niet verplicht is om de inhoud van deze expliciete toestemming te
controleren. Hoe wordt dan een situatie voorkomen dat een betaaldienstverlener zonder
expliciete toestemming inzage heeft tot de persoonsgegevens van een rekeninghouder?
Welke verantwoordelijkheid heeft de betaaldienstverlener in een situatie waarbij wel
inzage wordt verleend, zonder dat sprake was van toestemming?
Een betaaldienstgebruiker moet uitdrukkelijk toestemming verlenen voor de toegang
tot zijn persoonsgegevens. Een betaaldienstverlener zal vooraf aan het verlenen van
de betaaldienst een overeenkomst aangaan met de betaaldienstgebruiker. Om toegang
te krijgen tot de persoonsgegevens van de betaaldienstgebruiker, dient de betaaldienstverlener
afzonderlijk van de andere onderdelen van de overeenkomst aan de betaaldienstgebruiker
toestemming te vragen om toegang te krijgen tot zijn persoonsgegevens. De toestemming door de betaaldienstgebruiker dient vrij, ondubbelzinnig, geïnformeerd
gegeven te worden. De toestemming moet even makkelijk kunnen worden ingetrokken als
het geven van de toestemming (zie ook vraag 1).
Voorts heeft een betaalinitiatie- of rekeninginformatiedienstverlener toegang tot de betaalrekening nodig. Zoals ook wordt toegelicht in het antwoord op vraag 1 en 8, wordt de uitdrukkelijke
toestemming voor de toegang tot de betaalrekening gegeven door de afgifte van sterke
cliëntauthenticatie waarbij de betaaldienstgebruiker zich identificeert jegens de
betaaldienstverlener.
Het is de verantwoordelijkheid van de betaaldienstverlener om te beschikken over een
vergunning en zich te houden aan alle eisen die PSD II en de Algemene Verordening
Gegevensbescherming (AVG) stellen. De betaalinitiatie- en rekeninginformatiedienstverlener
dienen een vergunning te hebben van De Nederlandsche Bank en staan onder doorlopend
toezicht. Tevens dienen zij te zijn ingeschreven in het register van vergunninghoudende
partijen.
De rekeninghoudende betaaldienstverlener staat buiten de toestemming aan de betaalinitiatie-
of rekeninginformatiedienstverlener en kan dus ook geen beperkingen opleggen aan de
vorm of de inhoud van de gegeven uitdrukkelijke toestemming. De leden van de VVD-fractie
merken terecht op dat de rekeninghoudende betaaldienstverlener niet verplicht is om
de inhoud van de uitdrukkelijke toestemming te controleren. Wel moet de betaalinitiatie-
of rekeninginformatiedienstverlener zich altijd kunnen identificeren jegens de rekeninghoudende
betaaldienstverlener. Kan de betaaldienstverlener dat niet, dan kan de rekeninghoudende
betaaldienstverlener de toegang weigeren. Hetzelfde geldt bij frauduleuze of niet-toegestane
toegang door de betaalinitiatie- of rekeninginformatiedienstverlener. Van niet-toegestane
toegang kan bijvoorbeeld sprake zijn indien de betaaldienstverlener toegang krijgt
tot meer gegevens dan noodzakelijk om de gevraagde betaaldienst te kunnen verlenen.
Van frauduleuze toegang kan sprake zijn als een partij toegang vraagt die niet over
een vergunning beschikt en dus niet ingeschreven staat in het register. De rekeninghoudende
betaaldienstverlener heeft dus de verantwoordelijkheid om na te gaan welke vergunninghoudende
partij toegang vraagt tot de betaalrekening. Indien de rekeninghoudende betaaldienstverlener
de toegang tot de betaalrekening weigert, dient hij de betaaldienstgebruiker hierover
te informeren.
De leden van de VVD-fractie lezen in het implementatiebesluit dat ook bancaire spaarrekeningen
onder het besluit kunnen vallen. Tegelijkertijd constateren de leden van de VVD-fractie
dat het Hof van Justitie van de Europese Unie in een uitspraak op 4 oktober 2018,
zaak C-191/17, heeft geoordeeld dat dat niet het geval is. In het debat is hier reeds
eerder over gesproken. Kan de Minister duiding geven aan deze uitspraak en de daar
gevoerde discussie?
Het begrip betaalrekening bestond al onder PSD I. Een betaalrekening is een op naam
van één of meer betaaldienstgebruikers aangehouden rekening die voor de uitvoering
van betalingstransacties wordt gebruikt. In de betreffende uitspraak oordeelt het
Hof van Justitie dat de mogelijkheid om vanaf een rekening betalingstransacties van
en naar derden te kunnen ontvangen respectievelijk uit te kunnen voeren een wezenlijk
bestanddeel van het begrip «betaalrekening» vormt. Als deze transacties alleen via
een vaste tegenrekening (of rekening-courant) kunnen worden verricht, kan die rekening
niet als betaalrekening in de zin van PSD I worden aangemerkt. Uit de uitspraak kan
helaas niet worden opgemaakt of dezelfde overwegingen gelden voor de reikwijdte van
het begrip betaalrekening onder PSD II.
Tekstueel is het begrip betaalrekening in PSD II niet gewijzigd. Wel zijn sinds PSD
I nieuwe betaaldiensten en nieuwe vormen van betaalrekeningen ontstaan die pleiten
voor een ruimere uitleg van het begrip betaalrekening. Volgens de Europese Commissie
is het doel van PSD II leidend bij de vraag wat onder een betaalrekening in de zin
van PSD II wordt verstaan. De herziene richtlijn zelf biedt geen duidelijkheid over
de vraag of een bancaire spaarrekening met vaste tegenrekening moet worden aangemerkt
als een betaalrekening. Naast dit algemene uitgangspunt heeft de Europese Commissie
zich, mede omdat de zaak C-191/17 toen nog bij het Hof aanhangig was, nog niet expliciet
uitgelaten over de vraag in hoeverre de betreffende spaarrekeningen onder de reikwijdte
van het begrip betaalrekening in PSD II vallen.
Gelet op de uitspraak van het Hof zal ik nogmaals de vraag aan de Commissie voorleggen
of spaarrekeningen met een vaste tegenrekening moeten worden aangemerkt als betaalrekening
in de zin van PSD II. Het voorleggen van deze vraag acht ik van belang mede met het
oog op het creëren van een gelijk speelveld tussen lidstaten. Zo kan zoveel mogelijk
worden voorkomen dat hierover in lidstaten verschillende interpretaties ontstaan,
waardoor betaalinitiatie- en rekeninginformatiedienstverleners in de ene lidstaat
wel en in de andere lidstaat geen toegang tot spaarrekeningen met vaste tegenrekening
krijgen. Een gelijke toepassing van de richtlijn ondersteunt ook de maximumharmonisatie
die PSD II op dit punt voorschrijft.
Vragen en opmerkingen van de leden van de fractie van de SP
De leden van de SP-fractie vragen de Minister wat de gevolgen zijn wanneer de richtlijn
niet op 13 januari 2018 is ingevoerd. Hoe wil de Minister de interne bedrijfsvoering
van bedrijven controleren en heeft de controlerende instantie thans genoeg capaciteit
hiervoor? Zijn de eisen die gesteld zijn aan het beveiligingsbeleid van bedrijven
te handhaven?
De gevolgen van de vertraging van de implementatie van PSD II zullen beperkt zijn.
Zolang het implementatiewetsvoorstel niet in werking is getreden, zullen betaaldienstverleners
de nieuwe betaaldiensten die PSD II introduceert beperkt kunnen aanbieden op de Nederlandse
markt, omdat banken pas na inwerkingtreding van het implementatiewetsvoorstel verplicht
zijn om andere betaaldienstverleners toegang te verlenen tot de betaalrekening (in
het geval de betaaldienstgebruiker daarvoor toestemming heeft gegeven). Daarnaast
treedt een deel van PSD II, namelijk de bepalingen over beveiligde toegang tot de
betaalrekening en sterke cliëntauthenticatie, pas in werking 18 maanden nadat de technische
standaarden over sterke cliëntauthenticatie in werking treden. Dat zal in september
2019 zijn. Ruim voor die tijd zal PSD II zijn geïmplementeerd in Nederlandse wet-
en regelgeving. zodat voor alle betaaldienstverleners dezelfde beveiligingseisen gelden.
Voorts heeft DNB, met het oog op de nadere inwerkingtreding van de regelgeving ter
implementatie van PSD II, afgelopen juli het loket geopend waar partijen conceptaanvragen
voor een vergunning kunnen indienen. Hierdoor kunnen aanvragen, nadat de implementatieregelgeving
in werking is getreden, sneller worden verleend.
DNB heeft aanvullende capaciteit gekregen voor het toezicht op betaalinstellingen
van circa 6 FTE. Omdat het zwaartepunt van de nieuwe (aanvullende) eisen voor betaaldienstverleners
ligt bij het bevorderen van de veiligheid, zal een groot deel van deze 6 FTE worden
benut voor het toezicht op de beheerste en integere bedrijfsvoering. Ik ga er vanuit
dat DNB met deze uitbreiding voldoende capaciteit heeft voor een goed en effectief
toezicht op de interne bedrijfsvoering van betaaldienstverleners. Voor de reeds actieve
betaaldienstverleners geldt bovendien dat zij al onderworpen zijn aan doorlopend toezicht
op de beheerste en integere bedrijfsvoering.
De leden van de SP-fractie vragen zich af waarom de regels over de interne bedrijfsvoering
slechts algemene handelingsperspectieven kennen. Waarom wil de Minister de regels
voor interne bedrijfsvoering niet dwingend opleggen?
Het implementatiebesluit bevat nieuwe (aanvullende) eisen met betrekking tot de beheerste
en integere bedrijfsvoering van betaaldienstverleners. Dit zijn met name beveiligingseisen.
De nieuwe eisen worden zowel toegevoegd aan het Besluit markttoegang financiële ondernemingen
(hierna: Bmfo), als aan het Besluit prudentiële regels (hierna: Bpr). De eisen in
het Bmfo zijn weergegeven als vergunningvoorschriften, dat wil zeggen als voorwaarden
om de markt te mogen betreden. Deze dwingende eisen zijn, net zoals de meeste andere
vergunningvoorschriften, weergegeven als algemene handelingsperspectieven, bijvoorbeeld
de verplichting om te beschikken over een beschrijving van de procedures voor de omgang
met gevoelige betaalgegevens. Pas indien de betaaldienstverlener aantoont dat hij
aan deze vergunningsvoorwaarden voldoet, verleent DNB een vergunning.
Daarnaast zijn er ook eisen aan de beheerste en integere bedrijfsvoering opgenomen
in het Bpr. Deze eisen zijn eveneens dwingend. DNB houdt hier doorlopend toezicht
op. Een voorbeeld is de verplichting voor een betaaldienstverlener om te beschikken
over een beveiligingsbeleid, inclusief passende beveiligingsprocedures en – maatregelen,
zodat betaaldienstgebruikers beschermd zijn tegen fraude en misbruik van gevoelige
betaalgegevens en persoonsgegevens. Indien een betaaldienstverlener niet voldoet aan
de eisen die in het Bpr zijn opgenomen kan DNB maatregelen nemen, zoals het opleggen
van een boete, en, in uiteindelijk, het intrekken van de vergunning.
De leden van de SP-fractie willen weten van de Minister waarom hij niet de zorgen
van de consumentenbond, die geen vertrouwen heeft in de huidige aan het veiligheidsbeleid
gestelde eisen, heeft weggenomen. Wie zijn geconsulteerd bij de totstandkoming van
dit besluit?
Het besluit is vier weken openbaar geconsulteerd. Er zijn in totaal acht reacties
ontvangen, waarvan er vier niet-openbaar zijn.1 Partijen die een openbare consultatiereactie hebben ingediend zijn de Betaalvereniging
Nederland, Pellicaan Advocaten, the Electronic Money Association (EMA) en de Verenigde
Betaalinstellingen Nederland (VBIN). De Consumentenbond heeft tijdens de consultatieperiode
niet gereageerd.
De Consumentenbond heeft op 3 september jl. op de website van de Consumentenbond aangegeven
zich zorgen te maken over hoe de toestemming aan derde partijen voor toegang tot de
betaalrekening tot stand komt. Daarom heeft de Consumentenbond gepleit voor een «dubbel
slot» bij de banken, namelijk dat de bank een dubbele check verricht op de door de
betaaldienstgebruiker gegeven toestemming. Uit de richtlijn volgt dat de bank verplicht
is om toegang te verlenen aan een andere betaaldienstverlener die toestemming heeft
gekregen van de betaaldienstgebruiker voor de toegang tot zijn betaalrekening. Bij
een eenmaal gegeven toestemming mag de bank de toegang tot de betaalrekening aan deze
betaaldienstverlener niet weigeren. Deze verplichting voor banken vloeit voort uit
het recht van de consument om van de nieuwe betaaldiensten gebruik te kunnen maken.
Dit betekent dat het intrekken van toestemming, die is gegeven aan een andere betaaldienstverlener,
niet bij de bank zelf kan plaatsvinden. Dat is op grond van PSD II, die op dit punt
maximumharmonisatie voorschrijft, niet toegestaan. Uiteraard kan de toestemming wel
worden ingetrokken bij de betaaldienstverlener aan wie de toestemming is gegeven.
Zoals ook aan de orde is geweest tijdens de plenaire behandeling van het ontwerpvoorstel
Implementatiewet herziene richtlijn betaaldiensten op 4 september jl. (Handelingen
II 2017/18, nr. 104, item 11), onderzoek ik in samenwerking met het Maatschappelijk Overleg Betalingsverkeer (MOB)
momenteel of het mogelijk is dat banken een overzicht bieden van de door de betaaldienstgebruiker
gegeven toestemmingen aan andere betaaldienstverleners en in hoeverre de betaaldienstgebruiker
via dit overzicht de toestemming bij die betaaldienstverleners weer kan intrekken.
Eén van de mogelijkheden die ik in dit kader onderzoek, is of banken in dat overzicht
ook kunnen aangeven waar en hoe de gegeven toestemming weer kan worden ingetrokken,
bijvoorbeeld via een directe link naar de website van de betaaldienstverlener aan
wie de toestemming is gegeven.
De leden van de SP-fractie vragen de Minister of de waarborgen voor het verlenen van
uitdrukkelijke toestemming aan bedrijven op dit moment voldoende is, zodat mensen
niet onbedoeld hun gegevens delen. Wat betekent sterke cliëntauthenticatie nu werkelijk
voor de veiligheid?
Zie de beantwoording van vraag 3 voor de voorwaarden waar het vragen van uitdrukkelijke
toestemming voor de toegang tot persoonsgegevens aan moet voldoen. Pas na het geven van uitdrukkelijke toestemming voor de toegang
tot persoonsgegevens, kan de betaaldienstverlener toestemming van de betaaldienstgebruiker
vragen voor de toegang tot de betaalrekening. Deze toegang is nodig om de gevraagde betaaldienst, zoals het initiëren van een
betaaltransactie, uit te kunnen voeren. Ook met de toegang tot de betaalrekening dient
een betaaldienstgebruiker uitdrukkelijk in te stemmen. Toestemming voor de toegang
tot de betaalrekening geeft de betaaldienstgebruiker via de afgifte van sterke cliëntauthenticatie,
waarbij de rekeninghouder zich identificeert jegens de betaaldienstverlener. Met de
afgifte van sterke cliëntauthenticatie is het voor de rekeninghoudende betaaldienstverlener
(bank) duidelijk dat de betaaldienstgebruiker beseft dat hij gebruik maakt van de
diensten van een betaaldienstverlener anders dan zijn eigen bank. De toestemming voor
de toegang tot de betaalrekening kan door sterke cliëntauthenticatie niet onbewust
plaatsvinden, aangezien de betaaldienstgebruiker in ieder geval een wachtwoord, pincode
en/of verificatiecode (tancode) moet intoetsen. Dit moet voor elke betaling opnieuw
gebeuren. Indien de begunstigde of het bedrag van de betaling verandert, moet opnieuw
sterke cliëntauthenticatie worden afgegeven. Op deze manier draagt sterke cliëntauthenticatie
bij aan de veiligheid.
De leden van de SP-fractie vragen waarom de Minister niet komt met een duidelijke
omschrijving van het begrip betaalrekening, zoals ook vaak tijdens de consultatie
is gevraagd. Is de Minister van mening dat de huidige definitie voldoende afbakening
biedt?
Bij de definiëring van het begrip betaalrekening in de Wet op het financieel toezicht
is er voor gekozen om te verwijzen naar het begrip betaalrekening in PSD II. Daarmee
wordt bevorderd dat de afbakening van het begrip overeenkomt met de afbakening die
op Europees niveau aan het begrip wordt gegeven. Voor de bepaling van de reikwijdte
van het huidige begrip is het doel van PSD II leidend. De technische aspecten van
een rekening mogen geen reden zijn voor een betaaldienstverlener om het recht van
een betaaldienstgebruiker om gebruik te maken van de in PSD II geïntroduceerde nieuwe
betaaldiensten te beperken. De huidige definiëring van het begrip heeft bovendien
als voordeel dat deze zoveel mogelijk technologieneutraal is en niet steeds aanpassing
behoeft als nieuwe vormen van betaalrekeningen ontwikkeld worden. Zie ook het antwoord
op vraag 4.
De leden van de SP-fractie vragen of alle adviezen van de Autoriteit Persoonsgegevens
zijn overgenomen.
Het advies van de AP op het ontwerp Implementatiebesluit is voor een groot deel overgenomen.
Zo is een passage in de nota van toelichting, waarin een onterecht onderscheid werd
gemaakt tussen betaalgegevens en persoonsgegevens, uit de toelichting verwijderd.
Voorts vraagt de AP om aandacht te besteden aan de implementatie van artikel 94, eerste
lid, PSD II, waarin de verplichting is opgenomen om te voorzien in een passende rechtsgrond
voor het verwerken van persoonsgegevens ten behoeve van het onderzoek naar en de opsporing
van betalingsfraude, en of in dat kader niet moet worden voorzien in een wettelijke
grondslag. Hieraan is nadrukkelijk aandacht besteed bij de verwerking van het advies.2 Verder is naar aanleiding van het advies in de nota van toelichting ter verduidelijking
een extra alinea opgenomen over het verwerken van betaalgegevens die persoonsgegevens
van derden bevatten. Op één punt is het advies niet overgenomen. De AP merkte op dat
de implementatie van het vereiste van «uitdrukkelijke toestemming» in het implementatiebesluit
is opgenomen als vergunningvoorschrift, waardoor er geen toezicht op dit vereiste
zou worden uitgeoefend na toetreding tot de markt. Deze veronderstelling klopte niet:
het vereiste van uitdrukkelijke toestemming is opgenomen in het Bpr. En onderdeel
van doorlopend toezicht. De AP is belast met het doorlopende toezicht op dit vereiste.
Daartoe is in nota van wijziging voorgesteld om deze taak van de AP uitdrukkelijk
vast te leggen in de Uitvoeringswet Algemene Verordening Gegevensbescherming.3
Ondertekenaars
-
Eerste ondertekenaar
A. (Anne) Mulder, voorzitter van de vaste commissie voor Financiën -
Mede ondertekenaar
A.H.M. Weeber, griffier