[D66] PSD2 zo lek als een gieter

[A.OUT]

Bankoverschijving particulier ‘zonder toestemming’ naar financiële
databedrijven
By
platform-investico.nl
3 min
View Original
Beeld door: Foto: Richard Brocken/HH
Beeld door: Foto: Richard Brocken/HH

Vertrouwelijke betaalgegevens van particulieren die tot dusver alleen
bekend waren bij de bank, kunnen vanaf komend jaar in databases van
fintechbedrijven terechtkomen. Ook als klanten daarvoor geen toestemming
geven, kan rekeninginformatie in handen komen van bedrijven die handelen
in financiële data. Dat blijkt uit onderzoek van Platform voor
onderzoeksjournalistiek Investico voor De Groene Amsterdammer en Follow
the Money.

Het datalek is een gevolg van de nieuwe Europese betaalwet PSD2
(afkorting voor Payment Service Directive) die is goedgekeurd door de
Eerste en Tweede Kamer en begin volgend jaar ingaat. De wet verplicht
banken om rekeninginformatie van hun klanten af te staan aan andere
bedrijven, mits de klant daarvoor uitdrukkelijk toestemming geeft.
Ook zonder toestemming

Ook bankgegevens van mensen die géén toestemming geven, zullen hierbij
echter op grote schaal worden overgedragen, erkennen de bedrijven die de
regeling gaan uitvoeren. Eric Tak, PSD2-specialist bij ING: ‘Stel, een
kerk of een homo-erotische boekhandelaar gebruikt een online financieel
huishoudboekje, en geeft toestemming om haar bankgegevens te delen. Dan
krijgt de fintech achter dat huishoudboekje óók de gegevens van klanten
of kerkleden die betalingen hebben gedaan in handen. Zelfs als die
klanten géén toestemming hebben gegeven. Wij zijn als bank onder PSD2
verplicht om dat allemaal over te dragen.’

In de politiek is over dit probleem gesproken, maar een oplossing is er
nog niet. ‘Ik krijg uit beleidsstukken de indruk dat wetgevers en
toezichthouders daar omheen manoeuvreren’, zegt Gerrit-Jan Zwenne,
hoogleraar recht en informatiemaatschappij aan de Universiteit Leiden.
Een mogelijke oplossing ziet hij in een opt-outregister: een centrale
lijst van consumenten die niet willen dat hun financiële gegevens worden
verhandeld. De vraag is of banken daar aan meewerken. ‘Het is een
maatschappelijk vraagstuk’, zegt Eric Tak van ING. ‘Wij kunnen niet
eenzijdig van de nieuwe wet afwijken.’

De Nederlandsche Bank (DNB) start binnenkort een publiekscampagne waarin
consumenten en ondernemers over de nieuwe regeling worden geïnformeerd.
De toezichthouder voor privacy, Autoriteit Persoonsgegevens, moet er op
toezien dat betaalgegevens van derden niet worden misbruikt.

Sommige consumentenbanken, zoals de Volksbank, gaan klanten beschermen
tegen het onbewust afstaan van betaalgegevens. ‘Wij noemen het de
hoofdschakelaar’, zegt woordvoerder Sijmen Veenstra van de Volksbank.
‘Als je een fintech toestemming geeft je bankgegevens op te vragen,
krijg je een foutmelding. Je moet dan eerst die hoofdschakelaar omzetten
binnen internetbankieren.’

De beschermlaag werkt echter niet tegen de overdracht van betaalgegevens
van derden die wel bij de betaling waren betrokken, maar niets weten van
de toestemming van de andere partij. Ook is de beschermingsstap
eenmalig. Als de hoofdschakelaar eenmaal is omgezet voor het eerste
PSD2-verzoek, dan kunnen volgende verzoeken tot data-deling zonder extra
tussenstap worden goedgekeurd.
Mislukt experiment

Nederlandse consumenten willen liever niet dat hun privé-betaalgegevens
worden verhandeld, bleek bij een in 2014 aangekondigd experiment van
ING. De bank wilde toen rekeninginformatie van klanten gaan verkopen
zodat bedrijven hen zouden kunnen benaderen met op maat gemaakte
advertenties. Dertig procent van de ING-klanten zou meteen overstappen
naar een andere bank, bleek destijds uit een enquête van Radar.

Vanwege de nieuwe betaalrichtlijn zullen financieel-technologische
startups nieuwe toepassingen ontwikkelen die de banksector op z’n kop
zullen zetten, hopen de beleidsmakers. Dat zou de macht van banken
kunnen beperken. Ook partijen die privacy hoog in het vaandel hebben,
zoals D66, GroenLinks en PvdA, gingen daarom met de regeling akkoord.

De vraag is wat er van die innovatie terecht komt. Investico-onderzoek
naar de bedrijfslobby rond de totstandkoming van PSD2 laat zien dat de
wet vooral interessant is voor bedrijven met verdienmodellen rond
kredietprofielen en targetmarketing. PSD2 zet bovendien een achterdeur
open waardoor privacygevoelige data kan wegvloeien naar de grote
multinationals uit de VS en China.

Volgens D66 Europarlementariër Sophie in ’t Veld, een van de
voorstanders van de nieuwe betaalregeling, kent de wet geen
privacy-probleem omdat zonder toestemming van de consument, niemand
bankgegevens mag gebruiken. ‘Die toestemming mag niet bestaan uit vier
pagina’s juridisch Engels, het moet in duidelijke taal. Als mensen
alsnog ja zeggen, is dat hun eigen keuze. Je bent de baas over je eigen
vinger. Je hoeft niet te klikken.’

Lees meer bij Follow the Money en De Groene Amsterdammer.