Banken moeten straks je betaalgegevens delen met bedrijven

Wat is PSD2?

De ‘Payment Service Directive’ is een soort juridische basis voor het girale betalingsverkeer. De belangrijkste verandering is dat bedrijven, nadat ze toestemming hebben gekregen, uitgaven van consumenten kunnen inzien of zelfs namens klanten kunnen betalen. Banken mogen geen geld vragen voor het doorgeven van gegevens.

Er veranderen ook andere zaken, zoals dat winkeliers wordt verboden geld te vragen voor de meeste kaarttransacties, met enkele uitzonderingen zoals creditcard American Express.

Wat levert PSD2 ons op?

Het ministerie van Financiën verwacht dat PSD2 in het voorjaar in Nederland wordt ingevoerd. Vermoedelijk worden daarna in winkels nieuwe mogelijkheden om te betalen aangeboden, bijvoorbeeld per app, als alternatief voor de pinpas. Ook zal meer worden geconcurreerd met iDEAL, een samenwerking van Nederlandse banken. Webwinkels en vliegtuigmaatschappijen zullen vergunningen vragen om zelf geld te kunnen innen.

Denk ook aan financieel advies over lenen of beleggen op basis van iemands precieze uitgaven. Of apps die met een digitaal huishoudboekje laten zien hoeveel geld er op gaat aan die dagelijkse koffie op het station.

Hoe werkt het geven van toestemming?

Er wordt onderscheid gemaakt tussen twee soorten toegang tot betaalrekeningen. De eerste geldt alleen voor inzicht in je uitgaven en inkomsten en voor maximaal drie maanden.

De andere soort toegang is om een bedrijf direct via een bankrekening te laten incasseren. Dan moet per transactie toestemming worden gegeven, of per reeks zoals bij een abonnement.

Voor wie geen enkele partij toestemming geeft, verandert niks. Wie wél akkoord gaat en zich bedenkt, komt er bekaaid vanaf. Afmelden is niet juridisch geregeld. Maarten Gelderman, directeur van de divisie Toezicht Nationale Instellingen bij De Nederlandsche Bank (DNB) noemde dit dinsdag bij een persbijeenkomst een „schoonheidsfout” in de wet.

Hoe kijkt zo’n derde partij in betaalgegevens?

Het zal even duren voordat er genoeg technische oplossingen zijn waarmee banken alleen dat beetje informatie over je weggeven dat de derde partij nodig heeft. Tot die tijd kan het zijn dat de bank het bedrijf toegang geeft tot dezelfde digitale interface als de rekeninghouder gebruikt. DNB is er niet blij mee. „Dat vinden we best eng”, zegt Gelderman. „Het is lastiger te beveiligen en bovendien: bedrijven kunnen veel meer zien dan alleen de informatie die ze nodig hebben.”

Hoe zit het verder met de privacy?

Een bedrijf mag niet om meer informatie vragen dan nodig en gegevens niet gebruiken voor een ander doel dan waar ‘expliciete toestemming’ voor is gegeven. Zelfs voor het ongevraagd uitbrengen van financieel advies moet aparte toestemming worden gevraagd. Vliegt een bedrijf toch uit de bocht, dan kan de privacytoezichthouder Autoriteit Persoonsgegevens een boete uitdelen.

Hoe die ‘expliciete toestemming’ er precies uit zal zien, is voer voor juristen. Het is de bedoeling dat de vraag om toegang niet wordt verstopt in duizenden woorden aan algemene voorwaarden. Bedrijven moeten voor een vergunning ook aan De Nederlandsche Bank uitleggen hoe ze toestemming willen vragen. De toezichthouder overweegt standaardteksten te maken „waarbij men weet: als we zo’n tekst gebruiken, is de kans veel groter dat we een vergunning krijgen”, aldus Gelderman.

De divisiedirecteur denkt overigens dat de kans klein is dat mensen per ongeluk hun betaalgegevens afstaan. „Een bedrijf kan pas bij je betaalgegevens na twee-factor-authenticatie, dus een dubbele check, met bijvoorbeeld een vingerafdruk of persoonlijke vraag. Daarover denk je beter na dan wanneer je een cookiewall uit gemak wegklikt.”

Welke derde partijen mogen allemaal toestemming vragen?

Partijen die een vergunning hebben gekregen van De Nederlandsche Bank, of een toezichthouder met zulke bevoegdheden in het buitenland. AFM waarschuwde eerder voor dubieuze financiële producten die een vergunning kregen van toezichthouders op Malta en Cyprus en daarmee legaal waren. Voorlopig is er overigens geen internationale en volledige lijst van bedrijven met toestemming om je betaalgegevens te vragen.

Wie gaat op de nieuwe wet toezien?

In Nederland gaan maar liefst vier toezichthouders – naast DNB ook AFM, ACM en AP – toezien op de verschillende aspecten van de wetgeving. De AFM waarschuwde vorig jaar dat dit wel eens „te versnipperd” zou kunnen zijn. De Autoriteit Persoonsgegevens (AP) mag boetes uitdelen als gegevens onrechtmatig worden gedeeld. Dat is een grote verantwoordelijkheid voor de kleine toezichthouder – momenteel 140 fte – die z’n handen al vol heeft aan de implementatie van een strenge privacywet. Maakt De Nederlandsche Bank zich daar zorgen over? „Ja en nee”, zegt Gelderman. „De AP gaat gelukkig wel groeien in omvang.”

Hoe gaat PSD2 de markt veranderen?

Met de nieuwe wet wordt de weg vrijgemaakt voor meer innovatie van financiële spelers (fintech).

De Nijmeegse hoogleraar digitale veiligheid Bart Jacobs noemde PSD2 op het blog iBestuur een „Europese strategische blunder”. Hij vreest voor een cadeau aan Amerikaanse techgiganten. Ze zouden bijvoorbeeld financiële gegevens willen koppelen aan informatie die ze al hebben van consumenten.

Lopen we daarnaast het risico dat de veranderingen hogere tarieven gaan opleveren omdat bedrijven hun diensten voorbehouden aan wie toegang geeft tot zijn rekening? „Zulke dingen zijn niet uit te sluiten”, zegt Gelderman. „Het is uiteindelijk aan consumentenorganisaties om in actie te komen als dat gebeurt.”