:format(webp)/s3/static.nrc.nl/images/gn4/data37476422-0f7ec5.png)
PSD2 staat voor de deur. Door deze Europese richtlijn moeten banken binnenkort bedrijven gratis toegang geven tot betaalgegevens – mits de rekeninghouder dat goed vindt. De regels hadden eigenlijk afgelopen januari moeten ingaan, maar Nederland loopt met de implementatie ver achter op andere Europese landen. Minister Wopke Hoekstra (Financiën, CDA) wil dat PSD2 voor het einde van het jaar is ingevoerd. In september stemde de Tweede Kamer in met de Nederlandse implementatiewet; in de senaat wordt het debat nu voorbereid.
PSD2 (Payment Service Directive 2) werd bedacht door de Europese mededingingsautoriteit. De richtlijn is bedoeld om de fintechindustrie een eerlijker kans geven: banken schermen hun goudmijn aan financiële data te veel af. Deze bedrijfjes kunnen juist nuttige diensten verlenen – digitale huishoudboekjes maken, bijvoorbeeld, of advies geven over kredieten, hypotheken of pensioenen.
Een jaar nadat de discussie over PSD2 in Nederland is opgelaaid, zijn veel zorgen over privacy niet weggenomen. De angst is dat PSD2 niet alleen de deur openzet voor sympathieke fintech start-ups, maar ook voor grote techbedrijven als Google, Amazon en Facebook. Ook wordt gevreesd dat consumenten hun privacy opofferen voor kortingen op bijvoorbeeld een hypotheek of verzekering. Een zorgverzekeraar vindt het interessant of een klant veel uitgeeft aan de sportschool of juist aan de snackbar.
:format(webp)/s3/static.nrc.nl/bvhw/files/2018/02/data24961041-97bbdf.png)
Bedrijven die financiële gegevens van consumenten willen opvragen, hebben daarvoor een vergunning nodig van een Europese toezichthouder. Daarmee mogen ze de data bij banken opvragen, of zelfs namens consumenten betalen. Omdat invoering van de wet in Nederland traag verloopt, kunnen die bedrijven sinds juli voor een vergunning bij toezichthouder De Nederlandsche Bank aankloppen. „We zijn met zo’n vijftien partijen serieus in gesprek”, zegt een woordvoerder van de centrale bank. Het gaat bijvoorbeeld om bedrijfjes met plannen om huishoudboekjes te maken voor consumenten, of een dashboard met tips over hoe ze meer kunnen sparen. Een andere groep richt zich op de zakelijke markt, zoals softwareleveranciers die de administratie van zakelijke klanten makkelijker wil maken.
De Nederlandsche Bank praat met vijftien partijen die nu al vergunning willen
Zo wil het Nederlandse Bizcuit een vergunning. Dat bedrijf maakte een app waarmee ondernemers hun zaken kunnen doen, zoals facturen betalen, offertes maken, documenten bewaren, bonnetjes scannen en de bank raadplegen.
Het bedrijf kijkt reikhalzend uit naar de nieuwe wet. Nu lukt koppelen van een bankrekening aan zijn dienstverlening alleen met een tijdrovend ‘volmachtproces’. De rekeninghouder moet dan een overeenkomst sluiten waarmee Bizcuit volmacht krijgt om banktransacties bij de bank op te halen. „40 procent van de ondernemers haakte door al die stappen weer af”, zegt Hessel Kuik van Bizcuit. „Straks kunnen klanten in een halve minuut hun rekening koppelen.”
Ondubbelzinnig
De Autoriteit Persoonsgegevens, toezichthouder op de privacy, kwam donderdag met uitleg over hoe bedrijven de consument straks om toestemming moeten vragen voor gebruik van zijn betaalgegevens. Zij moeten de vraag „ondubbelzinnig en specifiek” stellen, en mogen die dus bijvoorbeeld niet verstoppen in een andere overeenkomst. Voor inzage in een betaalrekening moet elke drie maanden opnieuw toestemming worden gevraagd. Als namens de consument wordt betaald, moet die bij elke transactie apart toestemming geven.
SP-Kamerlid Mahir Alkaya is er desondanks niet gerust op dat consumenten altijd de juiste keuzes maken. „In de praktijk zullen mensen vaak gewoon op ‘akkoord’ klikken. Zeker als ze worden verleid met kortingen op een hypotheek of zorgverzekering.”
"ICT-giganten krijgen zo het tafelzilver van Europese banken gratis op een presenteerblaadje aangeboden"
Ook Bart Jacobs, hoogleraar computerbeveiliging in Nijmegen, is kritisch. „Het lijkt bij niemand te zijn opgekomen dat misschien niet alleen kleine sympathieke partijen een PSD2-vergunning aan zullen vragen, maar ook minder sympathieke ICT-giganten”, schreef hij in het tijdschrift iBestuur. „Zij krijgen zo het tafelzilver van Europese banken gratis op een presenteerblaadje aangeboden. Een strategische blunder van de hoogste orde.”
Alkaya is het met Jacobs eens. „We kunnen ervan uitgaan dat Google in Europa een aantrekkelijke financiële dienst opzet, en de gegevens wil koppelen aan de data die het al heeft. Ik vrees dat veel mensen zullen instemmen, bewust dan wel onbewust.”
:format(webp)/s3/static.nrc.nl/images/gn4/stripped/data20852774-cb516a.jpg)
Jacobs vindt dat Europa op z’n minst wederkerigheid had moeten eisen, waarbij ook de Amerikaanse ICT-sector gedwongen wordt zijn kostbare gegevens gratis voor andere bedrijven beschikbaar te maken – na toestemming van de betrokkenen. „Waarom mogen ICT-bedrijven wel op hun gouden eieren blijven zitten?”
Minister Hoekstra noemde PSD2 in de Tweede Kamer „terra incognita”, onbekend gebied. Voor de „grote vragen” over privacy „komen we met een hele bak aan waarborgen, maar of die goed genoeg zijn, zal de praktijk ons moeten leren”, zei hij tegen de Tweede Kamer.
Jacobs ziet het minder zonnig in. „Over vijf jaar kijken we elkaar aan en vragen onszelf af: hoe hebben we dit ooit kunnen laten gebeuren?”