PSD2, een Europese strategische blunder

Bart Jacobs

door: Bart Jacobs, 12 september 2017

Als u het leuk vindt een bankier een dezer dagen de stuipen op het lijf te jagen, dan kunt u vragen: hoe ver staat het bij jullie met de PSD2? Vanaf midden januari 2018 zal deze Payment Service Directive 2 van kracht zijn. Dat is een Europese richtlijn die alle banken ertoe dwingt hun financiële systemen kosteloos open te stellen voor nieuwe FinTech dienstverleners. Is die PSD2 zo’n goed idee?

PSD2 is de afgelopen jaren bedacht door het Brusselse Directoraat Generaal Mededinging. De richtlijn is voortgekomen uit anti-bank sentimenten na de bankencrisis van 2008 en uit een blind geloof in alles wat innovatie heet en keuzevrijheid biedt. De FinTech industrie had moeite om van de grond te komen omdat banken onze financiële gegevens zo goed afschermen. Dat moest met harde hand doorbroken worden! Van privacy en bescherming van klanten, en van hun gegevens, moeten ze bij Mededinging niets hebben.

Onder PSD2 zijn twee nieuwe dienstverleners voorzien, voor het verrichten van uw betalingen en voor het geven van persoonlijk advies op basis van uw eigen financiële gegevens. In Nederland zijn wij verwend met het iDeal systeem, maar in andere Europese landen is online betalen minder soepel geregeld. iDeal is door de Nederlandse banken zelf, gezamenlijk opgezet. Externe partijen zouden dit ook kunnen doen, zodra hun betaalopdrachten in het bestaande bancaire systeem opgenomen worden. Dat dwingt PSD2 dus af, voor partijen die een PSD2 betaalvergunning hebben gekregen. Bij ons zal de nationale bank DNB die vergunningen verlenen.

De grote problemen beginnen bij de rekening-informatie-dienstverleners. Dat zijn nieuwe partijen onder PSD2, die, wederom na het verkrijgen van een vergunning ergens in Europa, rekening-informatie bij banken kunnen opvragen, zodra een klant daar toestemming voor geeft. Het business model van deze dienstverleners is gebaseerd op het verwerken van persoonsgegevens. In de digitale economie hebben zorgvuldig opgebouwde verzamelingen van persoonsgegevens grote waarde. Onder PSD2 kunnen ze gratis bij banken opgeëist worden.

Big five

De naïeve drijfveer van het Directoraat Mededinging lijkt te zijn geweest om al die kleine sympathieke FinTech startups te helpen, ten koste van die nare grote banken die maar op hun gouden eieren blijven zitten. Het lijkt bij niemand te zijn opgekomen dat misschien niet alleen kleine sympathieke partijen een PSD2 vergunning aan zullen vragen, maar ook minder sympathieke Amerikaanse ICT-giganten, zoals de big five: Google, Facebook, Apple, Microsoft en Amazon. Zij krijgen zo het tafelzilver van Europese banken gratis op een presenteerblaadje aangeboden. De Europese banken kunnen door deze big five kosteloos leeggezogen worden, terwijl ze een niet-kosteloze betaalinfrastructuur in stand moeten houden. De bankensector raakt hierbij het contact met de eigen klanten kwijt en verliest de controle over zeer gevoelige persoonsgegevens. Ik kan geen snellere manier bedenken om een sector om zeep te helpen en in handen te geven van overzeese concurrenten. Een strategische blunder van de hoogste orde, die de basis zou kunnen vormen van de volgende, exclusief Europese, bankencrisis. Een crisis die ditmaal niet veroorzaakt is door inhalige bankiers, maar door kortzichtige beleidsmakers en door politici die zich hebben laten inpakken door het moderne toverwoord ‘innovatie’. Over vijf jaar kijken we elkaar aan en vragen onszelf af: hoe hebben we dit ooit kunnen laten gebeuren?

In plaats van alleen zichzelf in de voet te schieten had Europa op zijn minst wederkerigheid moeten eisen, waarbij ook de (Amerikaanse) ICT-sector gedwongen wordt om haar kostbare gegevens gratis aan andere bedrijven beschikbaar te stellen – natuurlijk slechts na toestemming van de betrokkene. Dan hadden allerlei innovatieve sociale media startups aan de slag gekund met de gegevens van bijvoorbeeld Facebook of Google. Waarom mogen die ICT-bedrijven wel op hun gouden eieren blijven zitten? Is hun lobby in Brussel misschien sterker of slimmer geweest?

Daarnaast is het economisch onbegrijpelijk dat deze afgedwongen overdracht van waardevolle financiële gegevens van klanten kosteloos plaats moet vinden.

We kunnen ervan uitgaan dat een bedrijf als, zeg, Google, een PSD2 vergunning zal aanvragen in Europa. Daarmee kan Google hier eigen financiële diensten opzetten en koppelen aan haar reeds alomvattende bestaande digitale infrastructuur. Google zal aan haar gebruikers toestemming gaan vragen om financiële gegevens op te halen bij de banken van die gebruikers. De PSD2 richtlijn beperkt het gebruik van die gegevens tot financiële dienstverlening. Maar Google zal ongetwijfeld aanvullende toestemming vragen om die gegevens te mogen koppelen met de gegevens die Google al lang heeft over deze gebruikers. Denk aan wat Facebook met de gegevens van WhatsApp doet, ondanks fraaie beloften. Vervolgens heeft Google een ideale informationele machtspositie voor het sturen en manipuleren van deze gebruikers en voor differential pricing: het afhankelijk maken van de prijs van een product van de persoonlijke omstandigheden van de mogelijk geïnteresseerde koper. Dit is Google’s ideaal van ‘dienstverlening’. Prijzen worden er niet lager van.

Opgejaagde banken

Veel Europese banken zullen waarschijnlijk zelf ook, bijvoorbeeld via een dochterbedrijf, een PSD2 vergunning aanvragen zodat ze financiële informatie op kunnen eisen bij hun concurrenten. Zitten we te wachten op zulke opgejaagde ‘cowboy’ banken die financiële gegevens voor allerlei andere doeleinden gebruiken zodat klanten via persoonlijke aanbiedingen zo hoog mogelijke marges betalen? Of was het misschien toch niet zo’n gek idee dat banken de gevoelige financiële gegevens van hun klanten zorgvuldig afschermen?

Maar we hebben toch toezichthouders? Jazeker, maar het toezicht op PSD2 is versnipperd over De Nederlandsche Bank DNB, de Autoriteit Persoonsgegevens AP, en de Autoriteit Consument en Markt ACM. Deze partijen hebben nooit eerder samen aan een zo veelomvattende klus gewerkt en moeten elkaar nog vinden, met de beperkte middelen die ze hebben.

Is alles verloren? Natuurlijk kan ondoordachte wetgeving gerepareerd worden, maar dat kost tijd. Ondertussen kunnen er al Europese banken omgevallen zijn. Het gratis karakter van de verstrekking kan opgeheven worden. Ook kan de wederkerigheid ten opzichte van de Amerikaanse ICT-giganten alsnog afgedwongen worden, in eerste instantie via de tot nu toe nauwelijks uitgewerkte eis van dataportabiliteit voor particulieren in de aanstaande Algemene Verordening Gegevensbescherming. Fundamentele oplossingen zijn dat echter niet.

Het onderliggende probleem is het naïeve geloof van beleidsmakers in de vermeende voordelen van ongebreidelde keuzevrijheid voor consumenten. Vergroting van keuzevrijheid voegt niets toe als iedereen ongezien toch altijd ‘akkoord’ klikt om maar verder te kunnen. Sterker nog, vergroting van keuzevrijheid werkt averechts en verzwakt juist de positie van consumenten tegenover almachtige ICT-giganten; die krijgen op alleen maar meer vragen om toegang ‘akkoord’, onder het mom van vrije keuze. Het wordt tijd dat we leren denken in termen van daadwerkelijke bescherming van burgers.

Bart Jacobs is hoogleraar computerbeveiliging aan de Radboud Universiteit in Nijmegen en voorzitter van de stichting Privacy by Design. Zie voor meer informatie zijn persoonlijke webpagina

reacties: 3

tags: ,

- - - - -

  1. Joop Kurver #

    24 oktober 2017, 12:58

    Waarom sturen we NU niet alvast aangetekend, een door een juridisch expert gemaakte brief, waarin we duidelijk aangeven dat we de betreffende bank onder geen beding toestemming geven, dus nu niet en later niet, om het PSD2 systeem te gaan hanteren…..?

    IK ben ZEER FEL tegen, en dat zou iedereen moeten zijn! De risico’s zijn gewoonweg TE GROOT dat jouw bankgegevens in verkeerde handen vallen. En ik wil al helemaal NIET dat mijn bankgegevens bij de zogenaamde bedrijven met een vergunning, zoals Google en FB bij mijn bankgegevens komen. ABSOLUUT NIET !!

    - - - - -

  2. Vaya Con Dios #

    24 oktober 2017, 16:49

    Dag Bart,
    In de uitzending van Radar noemde jij – op de valreep – het nadeel als jij geld stuurt, of ontvangt van iemand die wél toestemming gegeven heeft. Ik kan mij daar weinig bij voorstellen. In een transactie staat enkel een naam, bedrag en eventueel omschrijving. Dit lijkt mij onvoldoende om een bruikbare relatie te leggen. Mocht dit al lukken, dan levert dit m.i. weinig bruikbare data op. Wat kan een commercieel bedrijf bijv. met de informatie: Bart Jacobs heeft 100 euro ontvangen voor ‘geleverde diensten’?
    Uiteraard ben ik ook tegen, maar in tegenstelling tot Joop Kurver ben ik er van overtuigd dat een simpel vinkje zetten bij mijn bank voldoende is om alles te blokkeren.
    BTW Iets soortgelijks is ik in het verleden al gebeurd: ineens had de bank besloten dat je parkeergeld kon betalen zonder een pincode in te geven. “Om het de klant makkelijker te maken.” Dit was wel na één telefoontje mijnerzijds teruggedraaid.

    Naam is bekend bij de redactie

    - - - - -

  3. ReindeR Rustema #

    28 oktober 2017, 00:22

    Ben al een tijd geleden, naar aanleiding van een artikel bij Follow the Money een petitie begonnen ‘Geen toegang tot mijn bankgegevens’ en schreef net in een reactie op de site van Radar al een variant op het betoog van Bart Jacobs:

    Voor de duidelijkheid schets ik u dit toekomstbeeld wat ik bij niemand las:

    U wilt inloggen bij Facebook of Google, maar eerst krijgt u een vraag om toestemming te geven toegang te geven tot uw bankgegevens voor betere dienstverlening. De vraag krijg je elke keer tot je toestemming geeft en op een goed moment worden de laatste weigeraars gedwongen toestemming te geven of straffe van verlies van alles wat je aan diensten gebruikt bij ze. Dus geen toegang meer tot Facebook, Whatsapp, je Gmail, je Google docs, etc. en alles wat je daar tot nu toe aan gegevens hebt achtergelaten.

    Nou, dan gaan er heel veel mensen alsnog overstag. Dat is stap 1. Zelf heb ik Facebook en Google-diensten altijd met mate gebruikt en verlies ik niet veel als ik ze moet opgeven. Maar als genoeg van mijn contacten wel toestemming geven dan krijgen ze via die anderen alsnog veel gegevens van me!

    Teken alstublieft de petitie bankgegevenszijnprive.petities.nl ‘Geen toegang tot mijn bankgegevens’

    En begin alvast met het afbouwen van Google en Facebook-gebruik, maar dat terzijde.

    - - - - -

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie.