Gaat de betalingsrichtlijn PSD2 ons helpen in ons financiële huishouden (de believers), of vergooien we hiermee ons laatste restje privacy aan de datamonsters (de sceptici)?
Beeld: Shutterstock/Barry Hage
De Payment Services Directive versie 2 verplicht banken om aan derden toegang te bieden tot betaaldata van klanten mits zij 18 jaar of ouder zijn. En na hun uitdrukkelijke toestemming wel te verstaan. Die toestemming moet elke 90 dagen vernieuwd worden, met steeds heldere informatie over de bedoelingen. Eerst moet je bij de bank regelen dat je rekening ‘opengezet’ wordt, dan kun je derde partijen toestemming geven. Die krijgen dan direct je gegevens van de afgelopen 24 maanden en alle nieuwe transacties. Het doel van PSD2 is het aanwakkeren van concurrentie voor consumenten en innovatie in financiële diensten.
Betaaldienstverleners krijgen de mogelijkheid om een betaalopdracht naar je bank te sturen. Dat betekent bijvoorbeeld dat een buitenlandse webwinkel waarbij je niet met iDeal kunt betalen namens jou een betaalopdracht naar je bank kan sturen. Zo’n verzoek moet je autoriseren als een gewone betaling. Daarnaast krijgen bedrijven de mogelijkheid om de data van je betaalrekening op te halen voor financiële (informatie)diensten. Elk bedrijf dat toegang wil vragen, moet ergens in Europa een licentie verkrijgen van een toezichthouder, zoals De Nederlandsche Bank maar het kan ook in Sofia of Athene.
Bij DNB hadden zich volgens de woordvoerder begin maart ruim twintig partijen gemeld, waarvan vijftien Britse. Die bieden als betaaldiensten een Britse PSD2-vergunning, want Nederland is laat met de implementatie.
Welke bezwaren zijn er?
• Betaaldata zijn zeer gevoelig en leveren een uitgebreid profiel op.
• Je kunt toestemming wel intrekken, maar je moet er apart achteraan om data te laten wissen bij de fintech; en wie controleert dat?
• Gevaar dat grote partijen (webwinkels, app stores) klanten verplichten hun eigen betaaldiensten te gebruiken.
• Discriminatie op grond van betaalgedrag en financiële positie liggen voor de hand; zowel weigering van diensten en producten als prijsdifferentiatie naar gelang de dikte van de portemonnee.
• Met de rekeninggegevens van de klant zelf worden ook die van de tegenpartijen in de overboeking meegegeven, zonder hun benodigde toestemming.
• De bestaande banken maken de kosten, de fintechs en vooral grote partijen profiteren gratis.
Al twintig fintechs vergunning voor Nederland
Op 20 maart meldde het Financieele Dagblad dat het aantal technologiebedrijven dat mee mag kijken in de betaaldata van Europese consumenten sterk toeneemt. Er zijn al twintig fintechs die hun diensten ook in Nederland mogen aanbieden. Dat bleek uit het PSD2-register van de Europese Bankenautoriteit (EBA), waarin de fintechs staan die een vergunning hebben om nieuwe betaaldiensten aan te bieden. Onder deze twintig onder meer: onlinebank Revolut, betaalbedrijf GoCardless en de Amerikaanse fintech Quovo.
Veiligheidsprofessor Bart Jacobs sprak al eerder op iBestuur.nl (17 september 2017) van een strategische blunder van de Europese politiek. Ook Privacy First en Bits of Freedom roeren de privacytrom, zij het rijkelijk laat. Lokke Moerel, hoogleraar technologie & recht in Tilburg, wijst op drie elementaire fouten van Europese politici en de Commissie rond deze regelgeving: “De gedachte was dat PSD2 een stimulans zou vormen voor concurrentie door Europese start-ups, de fintechs. Een nobel streven, maar PSD2 is vooral gunstig voor techmolochs die al heel veel persoonsgegevens hebben en zeer bedreven zijn in het verkrijgen van toestemming van consumenten. Een tweede onderschatting betreft de gevoeligheid van betaaldata. Veel gegevens zoals ‘likes’ op Facebook geven een indicatie van mogelijke voorkeuren en gedrag. Maar betalingen vormen harde data over daadwerkelijk gedrag. Niet voor niets luidt het gezegde: put your money where your mouth is.” Een derde misrekening volgens Moerel is de verwachting dat de AVG toereikend is, maar toezichthouders als de AP kunnen al die fintechs niet controleren. Ze vindt dat banken moeten ingrijpen als fintechs, Google of Facebook zich niet aan afspraken houden. Inzet van mededingingsrecht voor privacy is de afgelopen maanden vaker bepleit door deskundigen.
Wat doen de banken?
De banken vertrouwen vooralsnog op DNB en de AP die nauw gaan samenwerken in privacybescherming. Ze laten verder weten blij te zijn met PSD2 en dat ze dat ook zelf betrouwbaar, zorgvuldig en veilig zullen invoeren om klanten diensten te bieden met data van concurrenten.
Volksbank kwam als eerst met een ‘hoofdschakelaar’ om toestemming aan en uit te zetten. In de Rabo Bankieren App zien rekeninghouders aan welke derde partijen ze toegang hebben gegeven en ze kunnen deze toestemming eenvoudig weer intrekken, zegt de woordvoerster van Rabo. ING maakt in Engeland al gebruik van UK Open Banking dat voorloopt op PSD2. “Onze eigen diensten zoals Yolt. Payconiq, Cobase zullen ook van PSD2 gebruikmaken.” Toestemming verlenen aan derden moet volgens de woordvoeder altijd via MijnING of de app.
Wat zijn de kansen?
De Nederlandse partij Invers is veruit het verst gevorderd met financiële diensten voor consumenten. Van Cashflow.nl en BankingTools.nl maken volgens Arash Poorasadi van Invers al zo’n half miljoen Nederlanders gebruik. “Met de PSD2-licentie die we nu hebben kunnen we straks met één druk op de knop deze mensen helpen met het verzamelen van data.”
Met de categorisering van betalingen en profilering van betaalgedrag is Invers gezien de lange ervaring en krachtige software – die ook bij banken in gebruik is – al jaren voorloper. Volgens Poorasadi strekt dat, evenals PSD2, vooral consumenten ten voordeel door veel beter inzicht in eigen gedrag, betere adviezen en snellere vergelijking van diensten zoals hypotheekaanvragen. Hij ziet geen enkel privacyprobleem zolang data in Nederland blijven bij gerenommeerde partijen: “Privacy valt in het niet bij de grote voordelen. Met Google, Apple, Facebook en Amazon is dat een ander verhaal. Maar we hebben in Europa de allerbeste privacywetgeving.”
Overheid doet wel/niet mee
Invers kan als geen ander betaaldata omzetten in nuttige informatie. Dat is zelfs reden voor Stichting Financieel Paspoort om daarvoor Invers in te schakelen, ofschoon het doel van de FP-app juist is om financiële ondersteuning te bieden met uiterste privacy, als tegenwicht voor commerciële aanbieders.
“Grootste probleem van PSD2 is het gebrek aan een behoorlijk correctief. Nadat je data over de schutting mikt, ben je ze als burger kwijt”, zegt de bevlogen voorzitter Philip Helmer. De Stichting test een alternatief voor het verzamelen van bankdata in de schuldhulpverlening bij twaalf gemeenten. “We praten met CAK, DUO, UWV, de Belastingdienst en CJIB over samenwerking. Het is essentieel dat financiële data voor en niet tegen burgers worden gebruikt.” Ook Nederlandse gemeenten kijken naar digitale huishoudboekjes. Utrecht loopt daarin voorop en deed al een technisch test. Die is geslaagd volgens nauw betrokkenen. De app maakt (nog) geen gebruik van PSD2. Utrecht stelt haar app en ervaringen later ook ter beschikking aan andere gemeenten.
In een recent rapport van het ministerie van EZK ‘De Nederlandse visie op datadeling tussen bedrijven’ is de regering wederom heel positief over PSD2 inclusief de vergaande privacywaarborgen. Ook de Autoriteit Financiële Markten en de Autoriteit Consument en Markt kijken mee met toezichthouders DNB en AP.
Privacy First probeert echter tot een PSD2-me-niet register te komen, vertelt directeur en jurist Vincent Böhre, en een keurmerk voor betrouwbare omgang met privacy. En een proces om het delen van tegenrekeninginformatie te voorkomen? “Pas als we op deze manier niet tot privacywaarborgen kunnen komen, gaan we aan rechtszaken denken.”
Een beknopte geschiedenis
Op 24 juli 2013 kwam de Europese Commissie met een hernieuwde betalingsrichtlijn PSD2. De richtlijn betalingsdiensten moet zorgen voor betere toegang tot betalingsdiensten en lagere kosten en risico’s voor de consument. Aanvankelijk was iedereen vooral verheugd over het maximeren van kosten voor creditcardbetalingen tot 0,3 procent van het aankoopbedrag.
Opvallend is dat we de PSD2 mede te danken hebben aan de belangrijkste Nederlandse privacyvoorvechter in het Europarlement, Sophie in ’t Veld. Zij was co-rapporteur van het wetsvoorstel, en toonde zich bij een debat in maart 2015 nog zeer verheugd. In een later debat in het Europarlement sprak ook Cora van Nieuwenhuizen, nu minister van Infrastructuur en Milieu en destijds partijgenoot van In ’t Veld in de liberale EP- fractie van het EP. Ook zij was enthousiast. In geen van beide debatten kwam het woord privacy voor. Later heeft In ’t Veld het privacyvraagstuk met met kritische vragen aan de kaak gesteld. Op 8 oktober 2015 werd het voorstel met grote meerderheid aangenomen in het Europees Parlement. Die richtlijn 2015/2366/EU moest worden omgezet in Nederlandse wetgeving.
In november 2016 kwamen Astrid Oosenbrug en Henk Nijboer van de PvdA met een nota voor burgerbescherming inzake financiële big data. Volgens minister Wopke Hoekstra van Financiën onnodig en onmogelijk: er zijn genoeg privacywaarborgen en bovendien mag Nederland geen eigen regels opleggen in een Europese markt. Immers, ook de Raad van State vroeg extra aandacht voor het goed formuleren van de uitdrukkelijke toestemming en samenwerking tussen de AP en DNB in het toezicht. Dat is toen geregeld. Op 23 oktober 2017 volgde de stemming voor de Implementatiewet PSD2 in de Tweede Kamer, met 111 stemmen voor en enkel PVV, SP en PvdD tegen. Op 19 februari volgde publicatie in het Staatsblad.
Deze bijdrage is te vinden in iBestuur magazine 30
