De PSD2: digitale pottenkijkers op je bankrekening? (longread)

geldmaandag 04 februari 2019 13:47

Door: Anthonie Drenth, denktank PerspectieF

Het klinkt als de titel van een nieuw uitgebrachte spelcomputer: de PSD2, voluit de Payment Services Directive II. Deze Europese richtlijn werd op 4 december stilletjes in de Eerste Kamer geïmplementeerd en is nu van kracht. Hiermee  krijgen derde partijen, met jouw toestemming, toegang tot jouw betaalverkeer. Derde partijen kunnen dan inzage krijgen in de producten die jij koopt, of je al dan niet rood staat of bijvoorbeeld betalingen voor jou doen. De uitbreiding van de toegang tot het betaalverkeer is expliciet bedoeld voor de financiële technologiebedrijven (hierna FinTech bedrijven) die hoofdzakelijk twee type diensten aan mogen bieden: betalingsinitiatiediensten én rekeninginformatiediensten. De filosofie van de Europese Commissie achter de PSD2 is dat FinTech bedrijven hierdoor meer de kans krijgen om slimme diensten voor consumenten te ontwikkelen waardoor het betaalgemak zal toenemen en de prijzen zullen dalen. Eerder mochten alleen banken dat nog, en van dat monopolie wil de Europese Commissie dus af. De Europese Commissie hoopt hiermee de concurrentie en innovatie binnen de financiële sector te stimuleren.[1] De invoering van de PSD2 is echter niet onomstreden. Gebruikersgemak, concurrentie en innovatie zijn namelijk niet de enige belangen die gelden. Velen maken zich zorgen over de bescherming van de privacy, de gevaren van in- en uitsluiting en een uitbreiding van de macht van een aantal toch al oppermachtige techbedrijven. Relevant dus voor jou als internetbankierder, want vanaf nu kun je je afvragen wat er precies gebeurt als je toestemming geeft aan deze digitale pottenkijkers. Wat doen en kunnen die bedrijven precies met jouw data en is jouw privacy daarmee wel voldoende beschermd? Welke impact heeft dit op de bankensector zelf? In dit artikel nemen we de PSD2 kritisch onder de loep, zodat jij weet waar je aan toe bent. Spoiler alert: het lijkt er wederom op dat gebruiksvriendelijkheid ten koste gaat van gebruikersvriendelijkheid.

Een innovatief feestje voor techbedrijven

Laten we positief beginnen. Met het in werking treden van de PSD2 krijgen FinTech bedrijven eindelijk de kans om hun meerwaarde in de financiële sector aan consumenten te bewijzen.  Doordat banken nu het monopolie bezitten op het onderhouden en beheren van het betaalverkeer, kan dat innovatie en vernieuwing afremmen. En laten we eerlijk zijn, de meeste Europese banken hebben zich de afgelopen jaren niet bepaald van hun meest innovatieve kant laten zien. Nederland vormt daarop trouwens wel een uitzondering, met toepassingen als iDeal en bijvoorbeeld Tikkie maken we menig Europese bank jaloers. Toch kan het ook in Nederland beter. Wanneer je meerdere rekeningen bij verschillende banken hebt, is het momenteel nog niet mogelijk om dat in één overzicht weer te geven via een app. Dat is onhandig en kan met de hedendaagse informatietechnologie natuurlijk veel gemakkelijker door met één applicatie alle betaalrekeningen inzichtelijk te maken. Daarnaast is het vaak nog een gedoe om in buitenlandse webshops makkelijk online aankopen te doen. Ook zijn FinTech bedrijven bezig met het ontwikkelen van smart huishoudboekjes, nieuwe online betaalsystemen (sneller en makkelijker dan bijvoorbeeld iDeal) die ook internationaal werken en diverse adviesapplicaties die je helpen om je persoonlijke budgetten op te stellen en beter te beheren. Hiermee zorgt de PSD2 mogelijk voor meer overzicht en gebruiksgemak voor de consument.
                Naast innovatie en vernieuwing van de financiële sector biedt de PSD2 volgens de Europese Commissie nog een belangrijk voordeel: een toename van concurrentie en daarmee goedkopere diensten en producten in de financiële sector. Doordat FinTech bedrijven toegang kunnen krijgen tot jouw betaalverkeer kunnen meer producten en diensten op maat worden aangeboden. Hierdoor kunnen processen in het betaalverkeer soepeler en sneller gaan verlopen en daarmee kan de prijs omlaag. De Europese Commissie is dus vrij positief gestemd over de uitwerking van de PSD2, maar is dat wel terecht?

Naïef geloof in keuzevrijheid en innovatie?

Er is niemand die zomaar aan een vreemde toegang geeft tot zijn of haar bankrekening. Je pincode houd je geheim en wat je verdient of uitgeeft schreeuw je evenmin van de daken, toch? Is het in die zin niet vreemd dat we het partijen, anders dan de zwaar gereguleerde traditionele banken, makkelijker gaan maken om op onze bankrekeningen te gaan snuffelen? Met die gedachte in het achterhoofd is het geen verrassing dat met de komst van PSD2 de discussie over privacy en digitale veiligheid weer is losgebarsten. Trouwens, het gaat niet louter om sympathieke FinTech startups zoals de Europese Commissie voor ogen heeft, maar reken maar dat ook de ‘big five’: Google, Facebook, Apple, Microsoft en Amazon aanspraak willen maken op de PSD2. Die partijen genieten nu niet bepaald een reputatie van zorgvuldig met persoonsgegevens omgaan, zoals diverse schandalen afgelopen jaar onthulden.[2] Wat gaan die bedrijven precies doen met die data? Geven we hiermee de toch al machtige techgiganten niet nog meer kaarten in handen? De kans is groot dat met het binnenharken van jouw betaalgegevens, deze bedrijven nog meer over jou te weten komen en dat gebruiken om op velerlei vlakken invloed op jou uit te kunnen oefenen. Maar is er geen toezicht dan? Ja, maar dat is versnipperd. De Nederlandse Bank, de Autoriteit Persoonsgegevens, de Autoriteit Financiële Markten en de Autoriteit Consument en Markt hebben elk hun eigen rol in het houden van toezicht op de partijen die gebruik willen maken van de PSD2. Deze partijen werken nu nog nauwelijks samen en hebben ook niet altijd de benodigde middelen voorhanden. Sowieso is het in toezichthoudersland basisregel nummer één dat versnippering een slecht idee is. Hier kunnen bedrijven mogelijk misbruik van maken. Toegegeven, de gebruikers van PSD2 kunnen niet zomaar toegang krijgen. Per toepassing moet jij daar de expliciete toestemming voor verlenen. Maar wees even eerlijk; iedereen die op internet surft weet inmiddels dat je zonder klakkeloos allerlei privacy statements en cookiewalls te accepteren zeeën van tijd kwijt bent. Niemand leest ze dus. Hoe vrijwillig is je toestemming dan nog?
                Als neveneffect is daarnaast het risico op in- en uitsluiting erg groot. Het is goed mogelijk dat de FinTechs allerlei voordelen geven als ze op jouw bankrekening mogen kijken. Als je toestemming geeft krijg je dan bijvoorbeeld 5 procent korting op de eerste aankoop, of je krijgt de eerste maand gratis toegang tot een bepaalde dienst. Maar het kan ook zijn dat je op bepaalde webshops niet kunt betalen doordat iDeal wordt vervangen door een betaalapplicatie van Facebook. Erger wordt het als bedrijven jouw betaalgegevens gebruiken om een profiel van jou te schetsen waarmee je op een voor- of achterstand komt te staan. Denk aan verzekeringsmaatschappijen die aan jouw uitgaven kunnen zien dat je nogal eens een biertje drinkt in de kroeg, of elk weekend een broodje kroket haalt bij de lokale cafetaria. Denk ook even aan je studieschuld, het is goed mogelijk dat je ook daar negatieve gevolgen van kunt ondervinden. Dat klinkt misschien gek, maar in China gebeurt het al! Het differentiëren van prijzen op basis van jouw profiel ligt dan op de loer, met andere woorden: geef je geen toestemming dan kan je dat dus letterlijk duur komen te staan. Het op deze manier in- en uitsluiten van groepen kan grote gevolgen hebben voor de vrijwilligheid, en daarmee keuzevrijheid, van groepen mensen.
                Dan is er nog de vraag wat dit betekent voor de traditionele rol van de banken. Het staat namelijk buiten kijf dat de banken met de komst van PSD2 er bekaaid vanaf komen. Zij moeten – bij toestemming van de klant – gratis toegang verlenen tot de bankgegevens van de consument aan de derde partij. FinTech bedrijven maken dus gratis gebruik van een dure financiële infrastructuur die de banken wel zelf moeten bekostigen en onderhouden. Het risico bestaat dat de traditionele bank hierdoor het contact met de eigen klant en de controle over persoonsgegevens verliest, terwijl ze daar wel voor moet betalen. Met de komst van de PSD2 is het dus maar de vraag of er voldoende rekening is gehouden met de inbreuk op de privacy van consumenten, de almaar groeiende macht van grote techgiganten en de gevaren van in- en uitsluiting. Ten slotte lijkt het alsof de Europese Commissie de traditionele banken onevenredig belast door hen te verplichten anderen kosteloos gebruik te laten maken van hun infrastructuur. Het is niet zo gek dat de Nederlandse banken niet zo happig zijn op deze voor hen ingrijpende verandering.[3]

De balans

Met de PSD2 krijgen FinTech bedrijven de mogelijkheid om met jouw toestemming te werken aan nieuwe en innovatieve financiële producten en diensten. Die innovatieslag lijkt nodig, want de Europese banken laten het op dat gebied nogal eens afweten. Volgens de Europese Commissie leidt de PSD2 bovendien tot meer concurrentie en daarmee dalende prijzen. Goed voor de consument dus. Toch is er ook veel kritiek op de PSD2. De Europese Commissie lijkt een wat naïef geloof te hebben in de innovatieve kracht van FinTech bedrijven waarmee de keuzevrijheid van consumenten zou toenemen. Grote techgiganten zoals Google, Facebook en Amazon houden er daarnaast andere doelstellingen op na en het lijkt erop dat de Europese Commissie daar onvoldoende rekening mee houdt. Vragen omtrent de bescherming van privacy, het toezicht daarop en mechanismen van in- en uitsluiting zijn nu nog onvoldoende beantwoord. Ja, expliciete toestemming is vereist, maar de kans is groot dat dat een wassen neus wordt. Hiermee lijkt het erop dat de PSD2 de positie van de consument eerder verzwakt dan versterkt.  Hoogleraar computerbeveiliging Bart Jacobs noemde de PSD2 dan ook een ‘Europese strategische blunder’. Maar wat kun je dan doen om jezelf te beschermen? Het lijkt er vooralsnog op dat Nederlandse banken niet staan te springen om de nieuwe PSD2 wetgeving. Zij zullen er dan hopelijk ook alles aan doen om jouw data zo goed als mogelijk te beschermen. Vraag dus aan jouw bank of er al bedrijven zijn die toestemming hebben om op je bankrekening te kijken en vraag ze ook wat zij concreet doen om jouw persoonsgegevens te beschermen. Daarnaast lijkt het vooralsnog verstandig om niet direct Jan en alleman toestemming te verlenen tot jouw bankrekening. Zoals eigenlijk met alles geldt, is het ook hier verstandig om goed te lezen wat deze partijen met jouw data precies willen doen en hoe ze dat doen. Kijk dus goed voor je een handige app voor een huishoudboekje toegang tot je bank geeft. Mijn eigen bank wees me er laatst op dat ik zelf de keuze heb of ik bedrijven toegang geef tot mijn betaalverkeer. Ik denk dat ik er voorlopig maar nog even voor kies om dat niet te doen. Daarbij ga ik er maar even voor het gemak vanuit dat ik dat niet per ongeluk al wel heb gedaan.


[1] Richtlijn 2015/2366/EU. Zie voor een samenvatting van de richtlijn: https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=LEGISSUM:2404020302_1&from=EN

[2] Zie bijvoorbeeld de fascinerende documentaire ‘The Facebook Dilemma’ die NPO2 binnenkort uitzendt:  https://www.vpro.nl/programmas/2doc/2019/the-facebook-dilemma-1.html

[3] De Europese Commissie deed op 3 oktober 2017 een ‘inval’ bij de Nederlandse Vereniging van Banken om onderzoek te doen naar de wijze waarop Nederlandse banken omgaan met nieuwe financiële spelers op de markt. Volgens de Europese Commissie zouden de Nederlandse banken die nieuwe spelers tegenwerken. Zie: https://nos.nl/artikel/2197039-invallen-om-tegenwerking-nieuwkomers-banksector.html

« Terug

Archief > 2019

september

juli

juni

mei

maart

februari

januari