Financial Privacy en EU-Richtlijn PSD2

Bestaat er na de invoering van de EU-Richtlijn PSD2 nog zoiets is als ‘financial privacy’ ?

Europa wil dat banken klantgegevens deelt met concurrenten. Dat de klant toestemming moet geven, is volgens privacydeskundigen een boterzachte waarborg.

Niemand hoeft bang te zijn dat zijn financiële hebben en houwen komend jaar op straat komt te liggen, betogen de voorstanders. De nieuwe Europese betaalrichtlijn, PSD2 gedoopt, zal ons betalingsverkeer niet veranderen in een financiële nudistencamping. Want, houden zij vol, de consument moet zélf uitdrukkelijke toestemming verlenen. Dan pas mag zijn bankendata gedeeld worden met fintechbedrijven of andere banken.

Privacydeskundigen vrezen dat die waarborg boterzacht kan blijken. Te algemeen zijn de regels. Te veel valkuilen bevatten ze waar de argeloze klant in kan tuinen. Dat heeft alles te maken met het eigenlijke doel van PSD2. De nieuwe richtlijn moet de Europese betaalmarkt de 21ste eeuw in slingeren. Door banken te verplichten hun klantendata te delen – zodra die klanten daar zelf groen licht voor heeft gegeven – ontstaat ruimte voor nieuwe, innovatieve bedrijven. Op die manier kan bijvoorbeeld een dienstverlener als Amazon straks op basis van iemands betaalgedrag specifieke aanbiedingen gaan doen.

Dat er ook nog iets was met privacy, lijken de Brusselse ambtenaren vergeten. ‘Dit gaat heel ver’, zegt Lokke Moerel, hoogleraar aan de Tilburgse universiteit en privacy-advocaat bij Morrison Foerster. ‘Zoveel mensen maken zich zorgen over de gevolgen van big data. En dan komt Europa met een nieuwe richtlijn: zet die bankgegevens maar open. Ook voor aanbieders buiten Europa!

De 4 valkuilen van de nieuwe PSD2 EU-richtlijn, die banken dwingt klantgegevens met ‘derden’ te delen.

1 Wie aanvinkt, stemt toe?
De zorgen beginnen met de toestemming die klanten moeten verlenen voordat er iets gebeurt. Wat houdt dat precies in? Gaat het net als bij nieuwe apps op de smartphone, met een vinkje onder aan een eindeloze rits voorwaarden? Dan stelt het weinig voor.

Toezichthouder De Nederlandsche Bank, die in Nederland de vergunningen zal gaan verlenen aan PSD2-bedrijven, pleit voor één standaardbenadering, maar acht het nog te vroeg hier concretere uitspraken over te doen. De Europese Commissie stelde afgelopen week in een persbericht dat de veiligheid voorop staat. Voor betalingen is in de nieuwe richtlijn daarom meestal een combinatie vereist van, bijvoorbeeld, een mobiele telefoon en een vingerafdruk. Of een pas met een pincode.

Dat lijkt erg op hoe het nu reeds gaat in Nederland. Toch is hoogleraar computerbeveiliging Bart Jacobs, verbonden aan de Radboud Universiteit, niet gerustgesteld. Hij wijst erop dat bedrijven ook kunnen proberen toestemming te ‘kopen’ met bv. een kortingsbon of voucher. Of door een prijs te zetten op niet-meedoen. ‘Wie verzekert mij dat als ik besluit mijn gegevens niet te delen, ik bepaalde diensten zoals hypotheekadvies nog wel kan ontvangen?’

2 Geen toestemming, toch meedoen.
Staat het stoplicht eenmaal op groen, dan mag een bedrijf net zo lang over de schouder mee blijven gluren tot de toestemming expliciet wordt ingetrokken. Dan moet de klant natuurlijk niet vergeten welke bedrijven hij of zij allemaal heeft uitgenodigd om mee te kijken op de bankrekening.

Voor veel mensen zal dat reden genoeg zijn om hun financiële zaken voor zich te houden. Toch kan ook deze groep last krijgen van PSD2. Hoe meer mensen in de omgeving hun financiële data wél delen, hoe meer informatie over de betalingen en ontvangsten van deze PSD2-weigeraars alsnog bij techbedrijven belanden. Uit al die losse puzzelstukjes kan een vrij compleet beeld worden geconstrueerd van iemands bankzaken.

Dat betekent niet dat dit ook mág. Nationale toezichthouders (in Nederland wordt de Autoriteit Persoonsgegevens hiervoor verantwoordelijk) moeten erop toezien dat PSD2-bedrijven de data alleen gebruiken voor die activiteit waarvoor de klant expliciet toestemming heeft gegeven. Helaas is dat makkelijker gezegd dan gedaan – zie de volgende valkuil.

3 Toezichthouders buitelen over elkaar heen.
Alleen al in Nederland moeten straks vier toezichthouders controleren of PSD2 fatsoenlijk wordt uitgevoerd. DNB verstrekt de vergunningen aan partijen die geïnteresseerd zijn in de data, de Autoriteit Persoonsgegevens waakt over de privacy, maar ook de Autoriteit Consument & Markt en de Autoriteit Financiële Markten zijn van de partij.

En dat is pas het begin. PSD2-bedrijven mogen straks ook in Nederland opereren met een vergunning uit een ander EU-land. Dat betekent dat toezichthouders van Malta tot Bulgarije een rol kunnen spelen. Het ligt voor de hand dat databedrijven op zoek gaan naar het mildste toezichtsregime. De Nederlandse betaaldata worden daarmee net zo veilig als de zwakste schakel in dit complexe Europese systeem.

Omdat de Autoriteit Persoonsgegevens nog advies gaat uitbrengen over het Nederlandse PSD2-wetsvoorstel, wil zij niet reageren op de vraag hoe dit toezicht in de praktijk precies moet gaan functioneren. Evenmin wil zij ingaan op een andere zorg: dat de beperkte financiële en organisatorische middelen van de toezichthouder misschien wel onvoldoende zijn om al die nieuwe techbedrijven in de gaten te houden.

4 Onze privacy, een waardevolle ‘asset’?
Zelfs als PSD2 goed functioneert, zal een van de grootste uitdagingen blijven om te voorkomen dat vertrouwelijke gegevens via via alsnog in verkeerde handen vallen. Te denken valt aan commerciële bedrijven die handelen in data. Ook buitenlandse inlichtingendiensten kijken met interesse naar PSD2, verwacht hoogleraar Jacobs.

Gegevens doorverkopen mag volgens de Autoriteit Persoonsgegevens alleen als de klant hier opnieuw expliciet toestemming voor geeft. Maar houden de betrokken bedrijven zich daaraan? De huidige praktijk doet het ergste vrezen. Zo bleek uit onderzoek in 2017 dat incassobureaus lijsten hebben gemaakt en doorverkopen met miljoenen namen van iedereen die weleens vergeet een rekening op tijd te betalen. Dat mag niet, maar tot nu toe heeft de toezichthouder niet opgetreden.

Gegevens over bankrekeningen kunnen minstens zo lucratieve handelswaar worden. De persoonlijke informatie die Google hamstert, leverde de multinational in 2014 45 dollar per kwartaal per cliënt op. Voeg daar betaalgegevens aan toe, en deze gegevens worden nog meer waard. Dat hoeft niet onvermijdelijk mis te gaan. Maar het geeft wel een enorme financiële prikkel om de privacy níét te respecteren…


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s