Privacy in mobile wallets

Johan
Peeters

Elke smartphone-gebruiker heeft zich wel al eens de vraag gesteld of zijn privéleven voldoende afgeschermd is tegen inmenging van grote bedrijven, de overheid of andere medeburgers.

We doen de laatste jaren steeds vaker betalingen via onze smartphone en we slaan er onze lidmaatschapskaarten en misschien zelfs identiteitskaart in op. Dit gebeurt via apps die we downloaden van de appstore of die na aankoop van de smartphone standaard blijken geïnstalleerd te zijn. Deze apps laten ons toe om onze bankkaart(en) op te slaan en betalingen uit te voeren zonder steeds onze pincodes in te geven, laat staan om gebruik te maken van een kaartlezer. Dit zijn de zogenaamde mobile wallets. Ze kunnen op termijn onze portefeuille vervangen. 

 

Onderzoek

Mijn onderzoek spitst zich toe op de vraag hoe de Europese wetgever omgaat met de privacy-risico’s die het gebruik van mobile wallets met zich meebrengen. Achter deze apps zitten financiële technologiebedrijven (Fintechs), zoals Apple of binnenkort ook Facebook die het gebruiksgemak centraal stellen. Zij verwerven door de combinatie van de gegevens over de locatie, de frequentie en aard van de aangekochte producten en het surfgedrag echter ook een geïntegreerd beeld van hun gebruikers.

Men kan er daarenboven niet aan voorbij dat er meerdere actoren in aanraking komen met deze gegevens. Zo zijn er onder meer de appontwikkelaars, internetproviders, en elke derde partij aan wie een onderdeel van het betalingsproces wordt uitbesteed. In 2018 was de website van Ticketmaster, een populaire verdeler van concerttickets, het slachtoffer van een cyberaanval. De gegevens van duizenden klanten werden gestolen via een lek in een chatbot van een derde partij. Het probleem is met andere woorden dat een systeem maar zo goed werkt als zijn zwakste schakel. 

 

Veiligere betalingen

In 2018 is de tweede betalingsdienstenrichtlijn (PSD2) in werking getreden. Deze richtlijn had als doel om een gelijk speelveld te creëren voor banken en Fintechs. Men had immers gemerkt dat deze laatsten onvoldoende gereglementeerd waren. Mobile wallets worden sindsdien betalingsinitiatiedienstaanbieders genoemd. Dit soort spelers zijn sindsdien gerechtigd om op vraag van de gebruikers betalingen te initiëren vanuit hun bankrekening.

Er werden echter wel hogere eisen gesteld op het vlak van veiligheid. Betalingsinitiatiedienstaanbieders moeten bijvoorbeeld garanderen dat er voorafgaand de betaling een sterke cliëntauthenticatie werd uitgevoerd. Dit betekent dat minstens twee van de volgende factoren moeten aanwezig zijn: kennis (iets wat alleen de gebruiker weet, zoals een pincode), bezit (iets wat de gebruiker heeft, zoals een smartphone) en inherente eigenschap (iets wat de gebruiker is, zoals een vingerafdruk). Deze factoren moeten onafhankelijk zijn van elkaar, zodat de vertrouwelijkheid gegarandeerd wordt.

 

Privacy-risico’s opgelost?

In PSD2 wordt er echter nauwelijks aandacht besteed aan de privacy-risico’s. De Europese wetgever heeft immers gekozen voor een gelaagde aanpak. De Algemene Verordening Gegevensbescherming (GDPR) dient aldus toegepast te worden op deze risico’s. Het vervolg van het onderzoek spitst zich dan ook toe op de mogelijke uitkomst van de risico’s die betalingsinitiatiediensten met zich kunnen meebrengen.

 

Toestemming van de gebruikers

De eerste kwestie betreft de vraag welke wettelijke basis betalingsinitiatiedienstaanbieders kunnen inroepen om financiële gegevens te verwerken. Hieromtrent bestond veel verwarring omdat PSD2 stelt dat betalingen enkel en alleen door middel van de uitdrukkelijke toestemming van de gebruikers kan geïnitieerd worden. GDPR biedt naast toestemming echter nog andere mogelijke gronden, zoals de noodzaak voor de uitvoering van de overeenkomst en de gerechtvaardigde belangen van de gegevensverwerker. Het Europees Comité voor gegevensbescherming heeft ondertussen uitgeklaard dat de vereiste van uitdrukkelijke toestemming uit PSD2 een louter contractuele voorwaarde is voor het uitvoeren van een betaling.

De aanbieders van mobile wallets kunnen met andere woorden zonder toestemming van hun gebruikers bijkomende diensten zoals tegoedbonnen aanbieden. Dit dient echter wel in overeenstemming te zijn met GDPR en daarover werd het laatste woord nog niet gezegd. 

 

Risico-aversie van banken

Een tweede probleem gaat over de wisselwerking tussen mobile wallets en banken. Zoals hoger gesteld, kunnen aanbieders van mobile wallets enkel via een verhoogd cliëntauthenticatiesysteem toegang tot de bankrekening bekomen. Zij kunnen hierbij beroep doen op het systeem van de bank maar zij kunnen ook een eigen systeem op poten zetten.

Hierbij stelt zich het probleem dat banken op die manier blindelings moeten vertrouwen dat hun cliënten hun toestemming hebben gegeven. Dit druist echter in tegen de verplichting van banken om ten aanzien van de gegevensbeschermingsautoriteit de naleving van GDPR aan te tonen. In de rechtsleer is daarom het voorstel geopperd om de verplichting van een digitale handtekening in te voeren. Hiermee wordt de veiligheid van betalingen alleen maar versterkt.

 

Doelgerichte reclame

Een laatste vraag is of mobile wallets de verzamelde gegevens verder kunnen gebruiken voor doelgerichte reclame. Iedereen die al eens een vlucht online heeft geboekt, zal zich wel de reclame voor hotels herinneren die nadien plots opduikt via Facebook of Google. In principe mogen persoonlijke gegevens alleen gebruikt worden voor het doel waarvoor zij initieel verwerkt werden (en waarover de gebruikers werden ingelicht). Voor het verder gebruik dient nagegaan te worden of dit in overeenstemming is met het oorspronkelijke doel.

Ten eerste moet er een rechtstreeks verband zijn tussen de beide doelen. Reclame voor hotels staat volgens mij niet rechtstreeks in verband met het uitvoeren van een betaling. Ten tweede moet rekening worden gehouden met de redelijke verwachtingen van de gebruikers. Mensen die een vlucht boeken verwachten mijns inziens niet noodzakelijk dat zij nadien ook reclame krijgen over hotels.

Ten derde moet ook de vraag worden gesteld naar de aard van de gegevens. Hier bevinden we ons op gevaarlijk terrein. Gegevens over onze afkomst, gezondheid of seksuele voorkeur eisen immers een grotere bescherming dan gegevens over onze vakantiebestemming. Maar wie zal toezien welke gegevens wel en welke niet verwerkt worden? Dit doet me besluiten dat gebruikers niet zomaar zullen aanvaarden dat mobile wallets hun gegevens verder gebruiken.

 

Conclusie

Ik concludeer dat de Europese wetgever weliswaar een verdienstelijke poging heeft gedaan om de veiligheid van betalingstransacties te verhogen, maar geen sluitende oplossing heeft geboden voor de privacy-risico’s die het gebruik van mobile wallets met zich meebrengen. De toekomst zal uitwijzen hoe de rechtspraak hiermee verder zal omspringen. 

 

Bibliografie

Legislation

 

Reg.EP and Council no. 2016/679/EU, 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing directive 95/46/EC, O.J.L.4 May 2016, 119, 1–88.

 

Del.Reg.Comm. no. 2018/389, 27 November 2017 supplementing Directive (EU) no. 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication, O.J.L. 13 March 2018, 69, 23–43.

 

Dir.EP and Council no. 2002/58/EC, 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector, O.J.L. 31 July 2002, 201, 37–47.

 

Dir.EP and Council no. 2015/2366/EU, 25 November 2015 on payment services in the internal market, amending Directives 2002/65/EC, 2009/110/EC and 2013/36/EU and Regulation 1093/2010/EU, and repealing Directive 2007/64/EC, O.J.L. 23 December 2015, 337, 35–127.

 

Proposal (Comm.) for a regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC, 10 January 2017, COM(2017)10 final - 2017/0003 (COD).

 

Green Paper (Comm.). Towards an integrated European market for card, internet and mobile payments, 11 January 2012, COM(2011)941 final.

                                   

AUTORITEIT PERSOONSGEGEVENS (AP) (THE NETHERLANDS), Advies implementatiebesluit herziene richtlijn betaaldiensten, 20 December 2017, https://www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/20171220_advies_aan_min_fin_implementatiebesluit_psd2.pdf

 

 

Literature

 

BERGER, P.E., VAN BIESEN, I. and LIEBAERT, S., “De impact van de nieuwe richtlijn betalingsdiensten (PSD II) op de Europese betaalmarkt”, Tijdschrift voor Belgisch Handelsrecht 2017, 123-134.

 

BOTT, J. and MILKAU, U., “Mobile wallets and current accounts: friends or foes?”, Journal of Payments Strategy & Systems 2014, 289-299.

 

DE BROUWER, S, “Navigating the labyrinth of laws applicable to mobile payments: some aspects”, in DAEMS, H., DE MEULENEERE, I., HOUSSA, C. and RAGHENO, N. (eds.), Digital finance / La finance numériques.l., Anthemis, 2015, 43-57.

 

DONNELLY, M., “Payments in the digital market: Evaluating the contribution of Payment Services Directive II”, Computer Law & Security Review 2016, 827-839.

 

EUROPEAN UNION AGENCY FOR FUNDAMENTAL RIGHTS AND COUNCIL OF EUROPE (FUNDAMENTAL RIGHTS AGENCY - FRA), Handbook on European data protection law, Luxemburg, Publications Office of the European Union, 2018, 399 p.

 

GEVA, B., “Mobile payments and Bitcoin: concluding reflections on the digital upheaval in payments”, in GIMIGLIANO, G. (ed.), Bitcoin and mobile payments: Constructing a European Union framework, London, Palgrave Macmillan UK, 2016, 271-287.

 

GIMIGLIANO, G., “Mobilizing payments within the European Union framework: A legal analysis”, in GIMIGLIANO, G. (ed.), Bitcoin and mobile payments: Constructing a European Union framework, London, Palgrave Macmillan UK, 2016, 73-88.

 

GONZALEZ FUSTER, G., “EU data protection and future payment services”, in GIMIGLIANO, G. (ed.), Bitcoin and Mobile Payments: Constructing a European Union Framework, London, Palgrave Macmillan UK, 2016, 181-201.

 

KASIYANTO, S., “Security issues of new innovative payments and their regulatory challenges”, in GIMIGLIANO, G. (ed.), Bitcoin and mobile payments: Constructing a European Union framework, London, Palgrave Macmillan UK, 2016, 145-179.

 

LEVITIN, A., “Pandora’s digital box: the promise and perils of digital wallets”, University of Pennsylvania Law Review, 2018, 305-394.

 

RIEFA, C., “Directive 2009/110/EC on the taking up, pursuit and prudential supervision of the business of electronic money institutions and Directive 2015/2366/EU on the control of electronic payments in the EU”, in LODDER, A. and MURRAY, A. (eds.), EU Regulation of E-commerce. A commentary, Cheltenham, Edward Elgar Publishing Limited, 2017, 146-176.

 

SIMONT BRAUN, “Mobile wallets and mobile contactless payments – a closer look at data protection”, 2015www.simontbraun.eu/images/pdf/News/NFC_News_II_versie_ 21mei_2015_2_2.pdf.

 

THYS, T., VAN RAEMDONCK, S. and DESMET, K., “GDPR, PSD2 and the repurposing of data: no big deal?”, Bank- en financieel recht, 2018, 184-196.

 

TRUYENS, M., “Elektronische betalingen: een praktische verkenning van het juridische landschap” in INSTITUUT VOOR BEDRIJFSJURISTEN (ed.), Let's go digital – Le juriste face au numérique - De digitale uitdaging van de jurist, Brussels, Bruylant, 2015, 169-197.

 

VANDEZANDE, N., Mobile wallets and virtual alternative currencies under the EU legal framework on electronic payments, ICRI Working Paper Series 16, 2013, 28 p.

 

VANDEZANDE, N., “Reconciling consent in PSD2 and GDPR”, in THE PAYPERS, Web fraud prevention, identity verification & authentication guidewww.thepaypers.com/reports/web-fraud-prevention-identity-verification-authentication-guide-2018-2019/r776368, 2018, 113-114. 

 

VEALE, M. and BINNS, R., “Fairer machine learning in the real world: Mitigating discrimination without collecting sensitive data”, Big Data & Society 2017, 1-17.

 

WOLTERS, P.T.J. and JACOBS, B.P.F., “The security of access to accounts under the PSD2”, Computer Law & Security Review 2019, 29-41.

 

ZUNZUNEGUI, F., Digitalisation of payment services, Ibero-American Institute for Law and Finance Working Paper Series 5, 2018, 33 p.

 

 

European Reports

 

ARTICLE 29 DATA PROTECTION WORKING PARTY (Working Party 29), Guidelines on consent under Regulation 2016/679, 10 April 2018, 17/EN, WP 259 rev01, https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51030.

 

ARTICLE 29 DATA PROTECTION WORKING PARTY (Working Party 29), Guidelines on transparency under Regulation 2016/679, 11 April 2018, 17/EN, WP206 rev.01, https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025.

 

ARTICLE 29 DATA PROTECTION WORKING PARTY (Working Party 29), Opinion 01/2017 on the proposed regulation for the e-Privacy Regulation (2002/58/EC), 4 April 2017, 17/EN, WP 247, http://ec.europa.eu/newsroom/document.cfm?doc_id=44103.

 

ARTICLE 29 DATA PROTECTION WORKING PARTY (Working Party 29), Opinion 02/2013 on apps on smart devices, 27 February 2013, 00461/13/EN, WP 202, https://ec.europa.eu/justice/article-29/ documentation/opinion-recommendation/files/ 2013/wp202_en.pdf.

 

ARTICLE 29 DATA PROTECTION WORKING PARTY (Working Party 29), Opinion 01/2010 on the concepts of “controller” and “processor”, 16 February 2010, 00264/10/EN, WP 169, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/ 2010/wp169_en.pdf.

 

ARTICLE 29 DATA PROTECTION WORKING PARTY (Working Party 29), Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, 9 April 2014, 844/14/EN, WP217, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf.

 

ARTICLE 29 DATA PROTECTION WORKING PARTY (Working Party 29), Opinion 03/2013 on purpose limitation, 2 April 2013, 00569/13/EN, WP 203, https://ec.europa.eu/justice/article-29/documentation/ opinion-recommendation/files/2013/wp203_en.pdf.

 

EUROPEAN CONSUMER ORGANISATION (BEUC), BEUC’s recommendations to the EDPB on the interplay between the GDPR and PSD2, 11 April 2019, https://www.beuc.eu/publications/beuc-x-2019-021_beuc_recommendations_to_edpb-interplay_gdpr-psd2.pdf.

 

EUROPEAN BANKING AUTHORITY (EBA), Final guidelines on the security of internet payments, 19 December 2014, EBA/GL/2014/12_Rev1, https://eba.europa.eu/documents/10180/ 934179/EBA-GL-2014-12+%28Guidelines+on+the+security+of+internet+payments%29_Rev1.

 

EUROPEAN BANKING AUTHORITY (EBA), Final report. Guidelines on the security measures for operational and security risks of payment services under Directive (EU) 2015/2366 (PSD2), 12 December 2017, EBA/GL/2017/17, https://eba.europa.eu/documents/10180/2060117/ Final+report+on+EBA+Guidelines+on+the+security+measures+for+operational+and+security+risks+under+PSD2+%28EBA-GL-2017-17%29.pdf

 

EUROPEAN BANKING AUTHORITY (EBA), Final report. Guidelines on major incident reporting under Directive (EU) 2015/2366 (PSD2), 27 July 2017, EBA/GL/2017/10, https://eba.europa.eu/documents/10180/1914076/Guidelines+on+incident+reporting+under+PSD2+%28EBA-GL-2017-10%29.pdf

 

EUROPEAN BANKING AUTHORITY (EBA), Final Report. Draft Regulatory Technical Standards on Strong Customer Authentication and common and secure communication under Article 98 of Directive 2015/2366 (PSD2), 23 February 2017, EBA/RTS/2017/02, https://eba.europa.eu/documents/10180/1761863/Final+draft+RTS+on+SCA+an….

 

EUROPEAN CENTRAL BANK (ECB), Draft recommendations for the security of mobile payments, 20 November 2013, https://www.ecb.europa.eu/paym/cons/pdf/131120/ recommendationsforthesecurityofmobilepaymentsdraftpc201311en.pdf.

 

EUROPEAN DATA PROTECTION BOARD (EDPB), Guidelines 2/2019 on the processing of personal data under article 6(1)(b) GDPR in the context of the provision of online services to data subjects, 9 April 2019, https://edpb.europa.eu/sites/edpb/files/consultation/ edpb_draft_guidelines-art_6-1-b-final_public_consultation_version_en.pdf.

 

EUROPEAN DATA PROTECTION BOARD (EDPB), Letter regarding the PSD2 directive, 5 July 2018, https://edpb.europa.eu/sites/edpb/files/files/news/psd2_letter_en.pdf.&…;

 

EUROPEAN DATA PROTECTION SUPERVISOR (EDPS), Opinion on a proposal for a directive of the European Parliament and of the Council on payment services in the Internal Market amending Directives 2002/65/EC, 2006/48/EC and 2009/110/EC and repealing Directive 2007/64/EC, and for a regulation of the European Parliament and of the Council on interchange fees for card-based payment transactions, 5 December 2013, https://edps.europa.eu/sites/edp/files/publication/13-12-05_opinion_pay….

 

EUROPEAN UNION AGENCY FOR NETWORK AND INFORMATION SECURITY (ENISA), Security of mobile payments and digital wallets, 19 December 2016, https://www.enisa.europa.eu/publications/mobile-payments-security. 

 

EUROPEAN UNION AGENCY FOR NETWORK AND INFORMATION SECURITY (ENISA), Privacy and data protection by design – from policy to engineering, 12 January 2015, https://www.enisa.europa.eu/publications/privacy-and-data-protection-by-design.

 

EUROPEAN UNION AGENCY FOR NETWORK AND INFORMATION SECURITY (ENISA), Privacy and data protection in mobile applications. A study on the app development ecosystem and the technical implementation of GDPR, 29 January 2018, https://www.enisa.europa.eu/ publications/privacy-and-data-protection-in-mobile-applications.

 

EUROPEAN PAYMENTS COUNCIL (EPC), White paper mobile wallet payments, 21 January 2014, EPC 163-13, https://www.europeanpaymentscouncil.eu/sites/default/files/KB/files/EPC….

 

EUROPEAN PAYMENTS COUNCIL (EPC), Comments on the draft recommendation for the security of mobile payments developed by the European Forum on Security of Retail Payments, 29 April 2014, https://www.europeanpaymentscouncil.eu/news-insights/insight/epc-comments-draft-recommendations-security-mobile-payments-developed

 

EUROPEAN PAYMENTS COUNCIL (EPC), The European Commission’s final RTS: Some issues remain unclear. Interview with Scott McInnes, 6 December 2017, https://www.europeanpaymentscouncil.eu/news-insights/insight/european-commissions-final-rts-some-issues-remain-unclear.

 

PAYMENT SYSTEMS REGULATOR (PSR) (UK), Discussion paper: Data in the payments industry, June 2018, DP 18/1, https://www.psr.org.uk/sites/default/files/media/PDF/PSR-Discussion-paper-Data-in-the-payments-industry-June-2018.pdf.

 

 

Websites

 

www.pcisecuritystandards.org.

 

www.europeanpaymentscouncil.eu.

 

www.psr.org.uk.

 

 

 

Download scriptie (547.04 KB)
Universiteit of Hogeschool
KU Leuven
Thesis jaar
2019
Promotor(en)
Els Kindt