PSP: Verwerker of Verantwoordelijke?
Sinds 25 mei 2018 is de AVG van kracht. Met het in werking treden van de privacywet zijn de rechten van betrokken flink uitgebreid. Het uitgebreidere recht op inzage is daar een onderdeel van. Als security en privacy professional is het natuurlijk interessant om te zien hoe verschillende organisaties hier mee omgaan. We dienden onder andere een aantal inzage verzoeken in bij de internetkassa's, ook wel Payment Service Providers (PSP's) genoemd. Deze organisaties zorgen voor de webshop dat de klant betaalt. Bijvoorbeeld via de banken met iDeal, de creditcard maatschappijen of andere PSP's zoals Paypal. Een bekende Nederlandse PSP ging recent naar de beurs: Adyen.
Uit de inzageverzoeken komt naar voren dat deze organisaties heel verschillend omgaan met hun rol als betalingsfacilitator. Een aantal PSP's positioneert zichzelf hierbij als verwerker. De regie over de transactiedata van klanten ligt in dat geval dus primair bij de webshop. Deze heeft als het goed is een verwerkersovereenkomst met zijn PSP om te borgen dat deze de data niet voor eigen doelen en middelen gebruikt.
Andere PSP's positioneren zichzelf als verantwoordelijke. Deze PSP's zijn dus van mening dat zij de transactiedata die webshops via hen verwerken voor eigen doelen en middelen mogen inzetten.
PSP's hebben vaak toegang tot veel informatie over de transacties. Voor het verwerken van een iDeal transactie is in de meeste gevallen maar beperkte informatie noodzakelijk, zoals een transactienummer en een bedrag. De standaard templates bevatten regelmatig veel meer informatie, zoals naam van de klant, e-mailadres, bestelde producten en adresgegevens. Hoewel deze informatie nuttig kan zijn op het moment dat je bijvoorbeeld de backoffice van de PSP ook als een mini CRM-systeem gebruikt, voorzie je als webshop een PSP die zich als verantwoordelijke positioneert ook van gegevens die hij niet hoort te hebben. En waarvan de consument dacht dat hij ze in goed vertrouwen bij de webshop kon afgeven.
Maak je gebruik van een PSP of selecteer je binnenkort een (nieuwe) PSP? Dan is het goed om een aantal selectie- en designonderwerpen mee te nemen.
- Ziet mijn PSP zich als verantwoordelijke? Als verwerker? Of wellicht als beide?
- Kan ik met mijn PSP een passende verwerkersovereenkomst afsluiten?
- Welke diensten neem ik af (alleen betalingsverwerking? of bijvoorbeeld ook credit scoring)?
- Welke klantgegevens passen bij dit doel?
- Welke klantgegevens moet ik verplicht afstaan aan de PSP en welke zijn er optioneel?
- Sluit dit aan op mijn doelen?
- Zijn mijn ontwikkelaars geinstrueerd om niet zomaar alle velden uit de API-templates over te nemen, maar alleen de noodzakelijke in te zetten?
Deze overwegingen helpen ervoor te zorgen dat ook de PSP-schakel binnen de webshop voldoet aan belangrijke privacyverplichtingen zoals privacy by design en privacy by default.