PSD2 is de afgelopen jaren bedacht door het Brusselse Directoraat Generaal Mededinging. De richtlijn is voortgekomen uit anti-bank sentimenten na de bankencrisis van 2008 en uit een blind geloof in alles wat innovatie heet en keuzevrijheid biedt. De FinTech industrie had moeite om van de grond te komen omdat banken onze financiële gegevens zo goed afschermen. Dat moest met harde hand doorbroken worden! Van privacy en bescherming van klanten, en van hun gegevens, moeten ze bij Mededinging niets hebben.
PSD2, een Europese strategische blunder
Als u het leuk vindt een bankier een dezer dagen de stuipen op het lijf te jagen, dan kunt u vragen: hoe ver staat het bij jullie met de PSD2? Vanaf midden januari 2018 zal deze Payment Service Directive 2 van kracht zijn. Dat is een Europese richtlijn die alle banken ertoe dwingt hun financiële systemen kosteloos open te stellen voor nieuwe FinTech dienstverleners. Is die PSD2 zo’n goed idee?
Onder PSD2 zijn twee nieuwe dienstverleners voorzien, voor het verrichten van uw betalingen en voor het geven van persoonlijk advies op basis van uw eigen financiële gegevens. In Nederland zijn wij verwend met het iDeal systeem, maar in andere Europese landen is online betalen minder soepel geregeld. iDeal is door de Nederlandse banken zelf, gezamenlijk opgezet. Externe partijen zouden dit ook kunnen doen, zodra hun betaalopdrachten in het bestaande bancaire systeem opgenomen worden. Dat dwingt PSD2 dus af, voor partijen die een PSD2 betaalvergunning hebben gekregen. Bij ons zal de nationale bank DNB die vergunningen verlenen.
De grote problemen beginnen bij de rekening-informatie-dienstverleners. Dat zijn nieuwe partijen onder PSD2, die, wederom na het verkrijgen van een vergunning ergens in Europa, rekening-informatie bij banken kunnen opvragen, zodra een klant daar toestemming voor geeft. Het business model van deze dienstverleners is gebaseerd op het verwerken van persoonsgegevens. In de digitale economie hebben zorgvuldig opgebouwde verzamelingen van persoonsgegevens grote waarde. Onder PSD2 kunnen ze gratis bij banken opgeëist worden.
Big five
De naïeve drijfveer van het Directoraat Mededinging lijkt te zijn geweest om al die kleine sympathieke FinTech startups te helpen, ten koste van die nare grote banken die maar op hun gouden eieren blijven zitten. Het lijkt bij niemand te zijn opgekomen dat misschien niet alleen kleine sympathieke partijen een PSD2 vergunning aan zullen vragen, maar ook minder sympathieke Amerikaanse ICT-giganten, zoals de big five: Google, Facebook, Apple, Microsoft en Amazon. Zij krijgen zo het tafelzilver van Europese banken gratis op een presenteerblaadje aangeboden. De Europese banken kunnen door deze big five kosteloos leeggezogen worden, terwijl ze een niet-kosteloze betaalinfrastructuur in stand moeten houden. De bankensector raakt hierbij het contact met de eigen klanten kwijt en verliest de controle over zeer gevoelige persoonsgegevens. Ik kan geen snellere manier bedenken om een sector om zeep te helpen en in handen te geven van overzeese concurrenten. Een strategische blunder van de hoogste orde, die de basis zou kunnen vormen van de volgende, exclusief Europese, bankencrisis. Een crisis die ditmaal niet veroorzaakt is door inhalige bankiers, maar door kortzichtige beleidsmakers en door politici die zich hebben laten inpakken door het moderne toverwoord ‘innovatie’. Over vijf jaar kijken we elkaar aan en vragen onszelf af: hoe hebben we dit ooit kunnen laten gebeuren?
In plaats van alleen zichzelf in de voet te schieten had Europa op zijn minst wederkerigheid moeten eisen, waarbij ook de (Amerikaanse) ICT-sector gedwongen wordt om haar kostbare gegevens gratis aan andere bedrijven beschikbaar te stellen – natuurlijk slechts na toestemming van de betrokkene. Dan hadden allerlei innovatieve sociale media startups aan de slag gekund met de gegevens van bijvoorbeeld Facebook of Google. Waarom mogen die ICT-bedrijven wel op hun gouden eieren blijven zitten? Is hun lobby in Brussel misschien sterker of slimmer geweest?
Daarnaast is het economisch onbegrijpelijk dat deze afgedwongen overdracht van waardevolle financiële gegevens van klanten kosteloos plaats moet vinden.
We kunnen ervan uitgaan dat een bedrijf als, zeg, Google, een PSD2 vergunning zal aanvragen in Europa. Daarmee kan Google hier eigen financiële diensten opzetten en koppelen aan haar reeds alomvattende bestaande digitale infrastructuur. Google zal aan haar gebruikers toestemming gaan vragen om financiële gegevens op te halen bij de banken van die gebruikers. De PSD2 richtlijn beperkt het gebruik van die gegevens tot financiële dienstverlening. Maar Google zal ongetwijfeld aanvullende toestemming vragen om die gegevens te mogen koppelen met de gegevens die Google al lang heeft over deze gebruikers. Denk aan wat Facebook met de gegevens van WhatsApp doet, ondanks fraaie beloften. Vervolgens heeft Google een ideale informationele machtspositie voor het sturen en manipuleren van deze gebruikers en voor differential pricing: het afhankelijk maken van de prijs van een product van de persoonlijke omstandigheden van de mogelijk geïnteresseerde koper. Dit is Google’s ideaal van ‘dienstverlening’. Prijzen worden er niet lager van.
Opgejaagde banken
Veel Europese banken zullen waarschijnlijk zelf ook, bijvoorbeeld via een dochterbedrijf, een PSD2 vergunning aanvragen zodat ze financiële informatie op kunnen eisen bij hun concurrenten. Zitten we te wachten op zulke opgejaagde ‘cowboy’ banken die financiële gegevens voor allerlei andere doeleinden gebruiken zodat klanten via persoonlijke aanbiedingen zo hoog mogelijke marges betalen? Of was het misschien toch niet zo’n gek idee dat banken de gevoelige financiële gegevens van hun klanten zorgvuldig afschermen?
Maar we hebben toch toezichthouders? Jazeker, maar het toezicht op PSD2 is versnipperd over De Nederlandsche Bank DNB, de Autoriteit Persoonsgegevens AP, en de Autoriteit Consument en Markt ACM. Deze partijen hebben nooit eerder samen aan een zo veelomvattende klus gewerkt en moeten elkaar nog vinden, met de beperkte middelen die ze hebben.
Is alles verloren? Natuurlijk kan ondoordachte wetgeving gerepareerd worden, maar dat kost tijd. Ondertussen kunnen er al Europese banken omgevallen zijn. Het gratis karakter van de verstrekking kan opgeheven worden. Ook kan de wederkerigheid ten opzichte van de Amerikaanse ICT-giganten alsnog afgedwongen worden, in eerste instantie via de tot nu toe nauwelijks uitgewerkte eis van dataportabiliteit voor particulieren in de aanstaande Algemene Verordening Gegevensbescherming. Fundamentele oplossingen zijn dat echter niet.
Het onderliggende probleem is het naïeve geloof van beleidsmakers in de vermeende voordelen van ongebreidelde keuzevrijheid voor consumenten. Vergroting van keuzevrijheid voegt niets toe als iedereen ongezien toch altijd ‘akkoord’ klikt om maar verder te kunnen. Sterker nog, vergroting van keuzevrijheid werkt averechts en verzwakt juist de positie van consumenten tegenover almachtige ICT-giganten; die krijgen op alleen maar meer vragen om toegang ‘akkoord’, onder het mom van vrije keuze. Het wordt tijd dat we leren denken in termen van daadwerkelijke bescherming van burgers.
Bart Jacobs is hoogleraar computerbeveiliging aan de Radboud Universiteit in Nijmegen en voorzitter van de stichting Privacy by Design. Zie voor meer informatie zijn persoonlijke webpagina
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Waarom sturen we NU niet alvast aangetekend, een door een juridisch expert gemaakte brief, waarin we duidelijk aangeven dat we de betreffende bank onder geen beding toestemming geven, dus nu niet en later niet, om het PSD2 systeem te gaan hanteren…..?
IK ben ZEER FEL tegen, en dat zou iedereen moeten zijn! De risico’s zijn gewoonweg TE GROOT dat jouw bankgegevens in verkeerde handen vallen. En ik wil al helemaal NIET dat mijn bankgegevens bij de zogenaamde bedrijven met een vergunning, zoals Google en FB bij mijn bankgegevens komen. ABSOLUUT NIET !!
Dag Bart,
In de uitzending van Radar noemde jij – op de valreep – het nadeel als jij geld stuurt, of ontvangt van iemand die wél toestemming gegeven heeft. Ik kan mij daar weinig bij voorstellen. In een transactie staat enkel een naam, bedrag en eventueel omschrijving. Dit lijkt mij onvoldoende om een bruikbare relatie te leggen. Mocht dit al lukken, dan levert dit m.i. weinig bruikbare data op. Wat kan een commercieel bedrijf bijv. met de informatie: Bart Jacobs heeft 100 euro ontvangen voor ‘geleverde diensten’?
Uiteraard ben ik ook tegen, maar in tegenstelling tot Joop Kurver ben ik er van overtuigd dat een simpel vinkje zetten bij mijn bank voldoende is om alles te blokkeren.
BTW Iets soortgelijks is ik in het verleden al gebeurd: ineens had de bank besloten dat je parkeergeld kon betalen zonder een pincode in te geven. “Om het de klant makkelijker te maken.” Dit was wel na één telefoontje mijnerzijds teruggedraaid.
<I>Naam is bekend bij de redactie</I>