Deoverlap tussen AVG en PCI DSSis een van de meest verkeerd begrepen aspecten van het beheer van digitale betalingen in Europa. Veel bedrijven denken dat het naleven van een van beide regelgevingen hun verplichtingen rond kaartgegevens volledig dekt. Dat is onjuist: beide regelgevingen hebben verschillende doelen, overlappen gedeeltelijk en kunnen bij een datalek parallelle sancties opleveren. Het begrijpen van de verschillen is de eerste stap naar het opbouwen van een solide nalevingsstrategie.
AVG en PCI DSS: twee verschillende kaders, geen alternatieven
De AVG is een Europese verordening met kracht van wet die depersoonsgegevensvan natuurlijke personen beschermt. PCI DSS is een door de betalingsnetwerken (Visa, Mastercard, Amex) gedefinieerde contractuele standaard diekaartgegevenstijdens transacties beschermt. De AVG geldt voor elk bedrijf dat persoonsgegevens van personen in de EU verwerkt. PCI DSS geldt voor iedereen die betaalkaartgegevens opslaat, verzendt of verwerkt, ongeacht de locatie.
Het fundamentele verschil betreft de aard van de verplichting: de AVG stelt wettelijke vereisten vast met directe administratieve sancties. PCI DSS creëert contractuele verplichtingen tussen handelaren, acquirers en betalingsnetwerken. Een AVG-overtreding stelt een bedrijf bloot aan procedures van de toezichthoudende autoriteit. Het niet naleven van PCI DSS leidt tot commerciële sancties, intrekking van de mogelijkheid om kaarten te accepteren en herstelkosten die door de acquirer worden opgelegd. Geen van beide regelgevingen vervangt de andere.
Waar ze elkaar overlappen: kaartgegevens tussen AVG en PCI DSS
Kaartgegevensbevatten bijna altijd persoonsgegevens: de naam van de kaarthouder, het rekeningnummer (PAN) en soms het factuuradres. Deze elementen vallen onder de AVG-definitie van persoonsgegevens, zodat dezelfde gegevensverzameling onder beide kaders valt. De AVG vereist een rechtsgrondslag voor de verwerking, dataminimalisatie en rechten van betrokkenen. PCI DSS vereist versleuteling, toegangscontrole, netwerksegmentatie en continue monitoring van deCDE(Cardholder Data Environment).
Sommige technische maatregelen voldoen aan beide regelgevingen.Tokenisatieverkleint bijvoorbeeld het aantal kaartgegevensrecords binnen de perimeter van het bedrijf, waardoor zowel het PCI-risico als de AVG-blootstelling bij een datalek afneemt. Versleuteling in rust en tijdens verzending is vereist door PCI DSS, maar is ook een door de AVG aanbevolen maatregel om het risico voor betrokkenen te verkleinen. Niet alle maatregelen overlappen: de rechten van betrokkenen (inzage, wissing, overdraagbaarheid) hebben geen equivalent in PCI DSS, en omgekeerd gaan de PCI DSS-netwerksegmentatievereisten verder dan wat het gegevensbeschermingsrecht vereist.
Datalek: meldplichten en cumulatieve sancties
Een datalek met kaartgegevens leidt onder beide kaders tot parallelle verplichtingen. De AVG vereist de melding aan de toezichthoudende autoriteit binnen72 uurna ontdekking, wanneer het datalek een risico vormt voor de rechten van natuurlijke personen. Is het risico hoog, dan moeten ook de betrokken personen rechtstreeks worden geïnformeerd. PCI DSS vereist de onmiddellijke melding aan de acquirer en de kaartnetwerken, die hun eigen incidentresponsprocedures opstarten met een verplicht forensisch onderzoek op kosten van de handelaar.
De sancties heffen elkaar niet op. De toezichthoudende autoriteit kan sancties opleggen tot4% van de wereldwijde jaaromzetvoor ernstige AVG-overtredingen. Parallel daaraan kan de acquirer contractuele sancties opleggen voor het niet naleven van PCI DSS, variërend van5.000 tot 100.000 euro per maand, naast de kosten van herstelprogramma's en mogelijke verliezen door frauduleuze terugboekingen. Eén enkel incident kan daarom een dubbele financiële blootstelling veroorzaken die bedrijven vaak onderschatten wanneer ze het risico inschatten.
Veelgestelde vragen
Dekt de AVG kaartgegevens in plaats van PCI DSS?
Nee. De AVG beschermt persoonsgegevens in het algemeen, met inbegrip van de gegevens die in kaartgegevens zijn vervat. PCI DSS richt zich specifiek op de beveiliging van betalingsgegevens tijdens de verwerking van transacties. Beide regelgevingen gelden cumulatief: het voldoen aan de AVG ontslaat u niet van PCI DSS en omgekeerd. Een handelaar die kaarten accepteert, moet aan beide voldoen.
Als ik AVG-conform ben, ben ik dan ook PCI DSS-conform?
Niet noodzakelijk. Beide regelgevingen delen sommige technische maatregelen (versleuteling, toegangscontrole, dataminimalisatie), maar hebben specifieke vereisten die elkaar niet overlappen. PCI DSS vereist bijvoorbeeld driemaandelijkse kwetsbaarheidsscans, netwerksegmentatie van de CDE en jaarlijkse penetratietests. Geen van deze verplichtingen wordt uitdrukkelijk door de AVG vereist.
Tellen AVG- en PCI DSS-sancties bij elkaar op?
Bij een datalek met kaartgegevens wel. AVG-sancties worden opgelegd door de toezichthoudende autoriteit en hebben een administratief karakter. PCI DSS-sancties worden contractueel opgelegd door de acquirer. Er bestaat geen verrekeningsmechanisme: een bedrijf kan voor hetzelfde incident sancties van beide kanten ontvangen, naast forensische onderzoekskosten, de melding aan betrokken personen en mogelijke schadeclaims.
Het beheer van AVG en PCI DSS met één tokenisatie-infrastructuur verkleint de blootstellingsperimeter aan beide kanten.Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op