Regelgeving en AVG

PCI DSS en AVG: het is niet hetzelfde en u kunt beide schenden

18 februari 2025 5 min lezen PCI Proxy EU

Deoverlap tussen AVG en PCI DSSzorgt bij veel bedrijven die kaartbetalingen accepteren voor aanzienlijke verwarring. De aanname dat beide regelgevingen gelijkwaardig zijn of dat het voldoen aan het ene kader automatisch het andere afdekt, is onjuist en potentieel kostbaar. AVG en PCI DSS komen voort uit verschillende contexten, reguleren verschillende aspecten en activeren bij een inbreuk afzonderlijke sanctiemechanismen die zich kunnen opstapelen. Het begrijpen van de concrete verschillen is essentieel om een nalevingsstrategie op te bouwen die geen enkele flank onbeschermd laat.

PCI DSS en AVG: het is niet hetzelfde en u kunt beide schenden

AVG vs. PCI DSS: verschillende doelen, verschillende verplichtingen

De AVG is een Europese verordening met directe rechtskracht in alle lidstaten. Het doel is de bescherming van de grondrechten van natuurlijke personen met betrekking tot de verwerking van hun persoonsgegevens. Ze geldt voor elke organisatie die gegevens van natuurlijke personen in de EU verwerkt, ongeacht de sector. PCI DSS is daarentegen een technische en contractuele standaard die wordt gepromoot door dePCI Security Standards Council, het orgaan van de grote kaartnetwerken. Het doel is de bescherming van betalingsgegevens tijdens transacties en het terugdringen van fraude. Ze geldt voor iedereen die betaalkaartgegevens van de deelnemende netwerken opslaat, verzendt of verwerkt.

De concrete verplichtingen verschillen. De AVG vereist een rechtsgrondslag voor elke verwerking, het afhandelen van de rechten van betrokkenen (inzage, wissing, overdraagbaarheid), de aanstelling van eenfunctionaris voor gegevensbescherming (FG)in bepaalde gevallen, het bijhouden van het register van verwerkingsactiviteiten en de verplichte melding aan de toezichthoudende autoriteit bij een inbreuk binnen72 uur. PCI DSS vereist de versleuteling van kaartgegevens, netwerksegmentatie van deCDE, driemaandelijkse kwetsbaarheidsscans, jaarlijkse penetratietests, beheer van geprivilegieerde toegang metMFAen continue auditlogs. Sommige maatregelen zijn gedeeld (versleuteling, toegangscontrole), maar de meeste zijn specifiek voor elke standaard.

Kaartgegevens onder beide kaders

Betaalkaartgegevens bevatten bijna altijd persoonsgegevens: de naam van de kaarthouder, het rekeningnummer (PAN), de vervaldatum en soms het factuuradres. Dit betekent dat dezelfde gegevensverzameling tegelijkertijd door de AVG (als persoonsgegevens) en door PCI DSS (als betalingsgegevens) wordt gereguleerd. De verwerking van deze gegevens vereist daarom naleving van beide regelgevingen: een AVG-rechtsgrondslag voor de opslag van kaartgegevens ontslaat u niet van de PCI DSS-verplichting om deze gegevens te versleutelen en te beschermen met de door de standaard vereiste technische controles.

Tokenisatieis een van de zeldzame hulpmiddelen die op beide fronten helpt. Het vervangen van dePANdoor een onomkeerbare token vermindert het aantal blootgestelde persoonsgegevensrecords (AVG-voordeel) en verkleint deCDE-perimeter (PCI DSS-voordeel). Het elimineert niet alle verplichtingen van beide regelgevingen, maar verkleint wel aanzienlijk het blootstellingsgebied en de totale nalevingskosten. Voor handelaren die kaartgegevens opslaan voor terugkerende bestellingen, is tokenisatie vaak de enige praktische oplossing die tegelijkertijd voldoet aan de eisen van beide regelgevingen.

Bij een inbreuk: meldplichten en cumulatieve sancties

Een inbreuk waarbij kaartgegevens worden blootgesteld, leidt onder beide kaders tot afzonderlijke meldplichten. Volgens de AVG moet de verwerkingsverantwoordelijke de toezichthoudende autoriteit binnen72 uurna ontdekking op de hoogte stellen, indien de inbreuk een risico vormt voor de rechten en vrijheden van betrokkenen. Is het risico hoog, dan moeten ook de betrokkenen zelf worden geïnformeerd. Volgens PCI DSS moet de handelaar de acquirer onmiddellijk informeren en de incidentresponsprocedures van het betalingsschema volgen, die doorgaans een verplicht forensisch onderzoek op kosten van de handelaar omvatten.

De sancties sluiten elkaar niet uit. De toezichthoudende autoriteit kan bij ernstige AVG-overtredingen tot4% van de wereldwijde jaaromzetopleggen. De acquirer kan contractueel PCI DSS-sancties opleggen, variërend van enkele duizenden euro's per maand voor aanhoudende niet-naleving tot aanzienlijke eenmalige boetes bij een gedocumenteerde inbreuk. Daarbovenop komen de kosten voor forensisch onderzoek (van50.000 tot 500.000 eurobij een middelzware inbreuk), de vergoeding van frauduleuze terugboekingen bij gecompromitteerde kaarten en mogelijke kosten voor kaartvervanging die door de uitgevers worden opgelegd. De dubbele regelgevende blootstelling maakt van een inbreuk een gebeurtenis met kosten die ver boven de risico-inschattingen uitgaan wanneer de wisselwerking tussen beide regelgevingen niet wordt meegewogen.

Veelgestelde vragen

Valt de AVG-verwerkingsverantwoordelijke samen met de PCI-handelaar?

Niet noodzakelijk. Een handelaar kan AVG-verwerkingsverantwoordelijke zijn (bepaalt de doeleinden van de verwerking van klantgegevens) en tegelijkertijd PCI-handelaar (accepteert kaartbetalingen). Wanneer de handelaar echter een betalingsdienstaanbieder gebruikt, is die aanbieder doorgaans AVG-verwerker voor kaartgegevens en PCI DSS-dienstverlener. De twee verantwoordelijkheidsketens bestaan parallel en moeten worden geformaliseerd met passende overeenkomsten (verwerkersovereenkomst voor de AVG, dienstverleningsovereenkomst met PCI-attestatie voor PCI DSS).

Komt AVG-pseudonimisering overeen met PCI-tokenisatie?

Het gaat om verwante, maar niet gelijkwaardige concepten. AVG-pseudonimisering (art. 4) is een proces dat persoonsgegevens zonder aanvullende informatie niet langer aan een specifieke betrokkene toewijsbaar maakt. PCI-tokenisatie vervangt de PAN door een onomkeerbare token in de context van de handelaar. Sterke tokenisatie kan voldoen aan de AVG-criteria voor pseudonimisering, maar AVG-pseudonimisering impliceert niet automatisch naleving van de technische PCI DSS-tokenisatievereisten. Beide standaarden moeten afzonderlijk worden gecontroleerd.

Moet ik een FG aanstellen wanneer ik kaartbetalingen accepteer?

De verplichting om een functionaris voor gegevensbescherming aan te stellen hangt af van de aard en de omvang van de verwerking, niet specifiek van het accepteren van kaarten. Een gemiddelde e-commercehandelaar is niet automatisch verplicht een FG aan te stellen, enkel omdat hij kaarten accepteert. De verplichting geldt voor bedrijven die gegevens op grote schaal verwerken, een systematische monitoring van betrokkenen uitvoeren of bijzondere categorieën van gegevens verwerken. Raadpleeg uw juridisch adviseur voor een specifieke beoordeling.

Dubbele naleving met één integratie: tokenisatie verkleint tegelijkertijd de AVG- en PCI DSS-blootstelling.Ontdek PCI Proxy EU.


Hulp nodig bij PCI-naleving?

Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.

Neem contact op

Vereenvoudig PCI DSS-naleving vandaag

Verklein uw CDE, vereenvoudig het SAQ en bescherm kaartgegevens van klanten met PCI Proxy EU.