PCI DSS vs AVG
De één is een industriestandaard voor kaartgegevens; de ander is een EU-wet voor alle persoonsgegevens. Ze bestrijken verschillend terrein — maar overlappen bij betaalkaarten. Hier vergelijken we ze, en hoe u tegelijk aan beide kunt voldoen.
Twee kaders, twee doelen
PCI DSS
Een industriestandaard van de kaartmerken die technische en operationele vereisten stelt aan iedereen die kaarthoudergegevens opslaat, verwerkt of overdraagt.
- Bereik: betaalkaartgegevens
- Gehandhaafd door kaartmerken & acquirers
- Technische beveiligingscontroles
AVG
Een EU-wet die de persoonsgegevens van individuen beschermt. Ze regelt de rechtsgrondslag, minimalisatie, beveiliging en individuele rechten bij elke verwerking van persoonsgegevens — inclusief kaartnummers.
- Bereik: alle persoonsgegevens
- Gehandhaafd door EU-toezichthouders
- Juridische rechten & verplichtingen
PCI DSS vs AVG
| Dimensie | PCI DSS | AVG |
|---|---|---|
| Type | Industriestandaard | EU-wet |
| Gedekte gegevens | Kaarthoudergegevens | Alle persoonsgegevens |
| Gehandhaafd door | Kaartmerken & acquirers | Gegevensbeschermingsautoriteiten |
| Focus | Technische beveiliging | Rechten, rechtmatigheid, minimalisatie |
| Sancties | Boetes, hogere kosten, verlies acceptatie | Tot 4% van de wereldwijde omzet |
| Hoe tokenisatie helpt | Beperkt bereik tot SAQ A | Minimalisatie & EU-opslag |
Voldoe tegelijk aan beide
Tokenisatie is een van de weinige maatregelen die bij beide helpt. Door kaartgegevens te vervangen door tokens die zijn opgeslagen in onze Europese PCI DSS Level 1-kluis, beperkt u uw PCI-bereik tot SAQ A en ondersteunt u voor de AVG dataminimalisatie en beveiliging door persoonlijke kaartgegevens uit uw systemen te verwijderen — en in de EU te bewaren.
PCI DSS vs AVG, beantwoord
01 Wat is het verschil tussen PCI DSS en de AVG?
PCI DSS is een industriestandaard voor beveiliging van betaalkaartgegevens, gehandhaafd door de kaartmerken. De AVG is een EU-wet die alle persoonsgegevens van individuen beschermt, gehandhaafd door toezichthouders. PCI DSS is smal en technisch; de AVG is breed en juridisch — maar ze overlappen, omdat een kaartnummer ook een persoonsgegeven is.
02 Maakt PCI DSS-naleving mij AVG-compliant?
Nee. PCI DSS regelt hoe u kaartgegevens beveiligt, wat helpt bij de beveiligingsvereiste van de AVG, maar de AVG vereist ook een rechtsgrondslag, dataminimalisatie, individuele rechten, meldplicht datalekken en meer over alle persoonsgegevens. Ze zijn complementair, niet uitwisselbaar.
03 Hoe helpt tokenisatie bij zowel PCI DSS als de AVG?
Tokenisatie vervangt kaartgegevens door tokens die worden opgeslagen in een externe PCI DSS Level 1-kluis. Dat beperkt uw PCI-bereik tot SAQ A en ondersteunt voor de AVG dataminimalisatie en beveiliging door persoonlijke kaartgegevens uit uw systemen te verwijderen — en PCI Proxy bewaart ze in de EU.
04 Worden kaartgegevens beschouwd als persoonsgegevens onder de AVG?
Ja. Een betaalkaartnummer dat gekoppeld is aan een persoon is een persoonsgegeven onder de AVG, en valt daarmee onder zowel PCI DSS (als kaarthoudergegevens) als de AVG (als persoonsgegeven). Minimaliseren waar het wordt opgeslagen vermindert verplichtingen onder beide.
Kaartgegevens: minimaal, veilig en Europees
Vertel ons over uw gegevensstromen en wij laten zien hoe een Europese kluis u helpt tegelijk aan PCI DSS en de AVG te voldoen.