De privacyvalkuilen van PSD2
Begin 2019 wordt in Nederland de Europese betaalrichtlijn PSD2 van kracht. Het doel van de richtlijn is het gebruiksgemak van financiële diensten te verbeteren, de concurrentie in de bankenwereld te vergroten en innovatie te stimuleren. De EU denkt dat de burger daar baat bij heeft. Maar is dat wel zo? Welke privacygevaren zijn verbonden aan PSD2?
Payment Service Directive 2 moet het voor Europese burgers makkelijker maken om online te betalen en om gebruik te maken van allerlei innovatieve diensten van fintechs, die – mits ze een vergunning hebben van De Nederlandsche Bank (DNB) – jou kunnen vragen om toegang te krijgen tot jouw rekeninginformatie. De regelgeving komt uit de koker van het Brusselse Directoraat Generaal Mededinging. Na de bankencrisis ontstonden er anti-bank sentimenten. De fintech industrie kwam langzaam van de grond omdat banken financiële gegevens zo goed afschermen. Om innovatie te stimuleren, moesten fintechs een duwtje in de rug krijgen. Bescherming van persoonsgegevens was destijds niet bepaald een prioriteit van Brussel.
De gedachte achter PSD2 is: meer concurrentie betekent meer keuzevrijheid voor de consument. Die gedachte is echter achterhaald omdat datamarkten heel anders zijn dan gewone markten. In datamarkten geldt: wie de meeste data heeft, verwerft de hele markt. Er zal dus eerder minder concurrentie ontstaan. Kijk maar naar Alphabeth (het moederbedrijf van Google) en Facebook, of naar Tencent in China of naar Amazon in Amerika.
Op dergelijke door data gedomineerde markten heeft de consument niet meer maar minder keuzevrijheid. Want de marktleider zal alleen nog maar aanbiedingen doen aan interessante klanten. Juist de mensen die krap zitten krijgen geen lening meer of slechts tegen een hele hoge rente. Juist de mensen die zorg nodig hebben worden uitgesloten van aanbiedingen door de zorgverzekeraar. Tegelijkertijd krijg je wel allerlei aanbiedingen voor producten waar je gevoelig voor bent, maar die je eigenlijk helemaal niet nodig hebt.
Rekeninginformatie opvragen
Voordat we dieper ingaan op de privacygevaren eerst even wat achtergrond over PSD2. Deze nieuwe richtlijn maakt twee nieuwe diensten mogelijk: een betaalinitiatiedienst en een rekeninginformatiedienst. Bij de eerste kan de betaaldienstverlener een betaalopdracht initiëren, waardoor het voor de consument makkelijker wordt om te betalen. Dat voordeel zal in Nederland beperkt zijn; wij hebben immers iDEAL.
Rekeninginformatiediensten zijn online diensten die gebruikmaken van rekeninginformatie. Denk bijvoorbeeld aan een digitaal huishoudboekje, eventueel geconsolideerd van meerdere bankrekeningen. Dienstverleners die rekeninginformatie opvragen bij de bank worden derde partijen genoemd, ze staan immers tussen de rekeninghouder en de bank.
Dienstverleners moeten een vergunning krijgen van DNB en moeten toestemming vragen aan de klant om toegang te krijgen tot de rekeninginformatie. De manier waarop ze toestemming vragen moet vrij (je moet het kunnen weigeren en mag daar geen nadeel van ondervinden), ondubbelzinning (toestemming geven moet een duidelijke actieve handeling zijn) en specifiek (toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel) zijn. Bovendien krijgen derde partijen steeds voor maximaal 90 dagen toestemming, om te voorkomen dat de consument het vergeet.
Data is het nieuwe goud en PSD2 effent de weg om dat goud te gaan delven
ING-plan gedwarsboomd
Het grootste privacygevaar is dat de derde partij toegang krijgt tot de volledige betaalgeschiedenis (alles wat je zelf ook kunt zien in je online bankieromgeving). Daar kun je vrij nauwkeurig uit opmaken hoe iemand leeft: hoeveel geld komt er binnen? Waar wordt dat aan uitgegeven? Hoe gevoelig is iemand voor aanbiedingen? Hoe vaak bestelt iemand een afhaalmaaltijd? Is er een abonnement op een sportclub of sportschool? Welke zorgkosten maakt hij? Welk risico loopt deze persoon om in de schulden te komen? En ga zo nog maar even door. Deze informatie mag weliswaar alleen worden gebruikt voor het doel waarvoor de consument toestemming heeft gegeven, maar toch.
Het is verbazingwekkend dat er zo weinig ophef is over deze nieuwe wet. Hoe anders was dat vijf jaar geleden. Wie herinnert zich nog de aankondiging van ING in maart 2014 dat de bank bedrijven inzicht wilde geven in het betalingsgedrag van klanten bij hun organisatie, zodat deze bedrijven hun klanten konden benaderen met persoonlijke aanbiedingen. Dit zou gebeuren op basis van opt-in en het zou alleen om betalingen bij dat desbetreffende bedrijf gaan. De Nederlandsche Bank en de politiek stonden op hun achterste benen. Een meerderheid van de Tweede Kamer wees erop dat de banken zelf een gedragscode hadden ondertekend waarin ze hadden afgesproken om heel voorzichtig om te gaan met de privacy van klanten. DNB-president Klaas Knot vroeg zich op tv af: ‘Is dit nou het nieuwe verdienmodel dat we met de banken moeten nastreven? Vertrouwen is een groot goed en we hebben gezien dat mensen zich grote zorgen maken dat het oncontroleerbare vormen gaat aannemen. Zodra dat soort zorgen terecht blijken, dan denk ik dat we dit niet moeten doen.’
ING trok, geschrokken door de enorme media-aandacht en de negatieve berichtgeving, het plan snel terug.
De vraag die we ons met PSD2 zouden moeten stellen is: is het risico op ‘oncontroleerbare vormen’ nu niet veel groter dan destijds bij het ING-plan? Toen ging het immers alleen om de betalingen aan één bedrijf. Nu gaat het om het hele financiële hebben en houwen van mensen. Banken hebben in hun eigen gedragscode afgesproken heel voorzichtig met de privacy van klanten om te gaan, maar zijn nu wel verplicht om rekeninginformatie van hun klanten open te stellen voor derde partijen, en dat ook nog eens gratis en voor niks. Natuurlijk, op basis van opt-in. Maar dat gold destijds ook voor het ING-plan.
Geen toestemming, toch data inzien
Daar komt nog bij dat gegevens van consumenten die geen toestemming geven wél door derde partijen gezien kunnen worden. Als degene aan wie jij geld overmaakt toestemming geeft voor het bekijken van zijn bij- of afschrijvingen, ziet de derde partij jouw naam, rekeningnummer, omschrijving en het door jou overgemaakte bedrag. Dat is misschien nog niet zo heel erg schokkend als het gaat om een tientje dat je aan je vriendin betaalde voor een gezamenlijk cadeau, maar wél als je je huisarts of apotheek toestemming geeft. Of wanneer het gaat over jouw lidmaatschap van een politieke partij, vakbond of kerk of over een donatie aan een organisatie waaruit bijvoorbeeld je seksuele voorkeur blijkt. Dit zijn namelijk ‘bijzondere persoonsgegevens’ die alleen onder strikte voorwaarden verwerkt mogen worden. Er bestaat op dit moment geen mogelijkheid om deze gegevens te filteren. Dat brengt dus de mogelijkheid met zich mee dat deze data worden verstrekt aan partijen die deze gegevens helemaal niet mogen verwerken.
Belangenorganisatie Privacy First pleit daarom voor een opt-out register voor PSD2, vergelijkbaar met een bel-me-niet-register. Het zal echter niet eenvoudig zijn zo’n register te realiseren, want hiervoor moet ofwel de Europese PSD2-richtlijn worden aangepast óf alle partijen moeten vrijwillig meewerken aan zo’n register. Die kans is klein gezien de investeringen die ze dan moeten doen in aanpassing van hun systemen.
PSD2 moet het voor Europese burgers makkelijker maken om online te betalen
Laag bewustzijn
De consumenten die wel toestemming geven, lopen een nog veel groter risico op privacyschending. De EU legt namelijk wel heel eenzijdig alle verantwoordelijkheid bij de consument. De vraag is of consumenten de consequenties wel goed kunnen overzien. Ze hebben geen idee hoeveel techgiganten als Facebook en Alphabeth al over ze weten: hobby’s, politieke voorkeur, guilty pleasures, medische aandoeningen en zelfs je psychische gesteldheid. Als zij via een PSD2-vergunning ook nog eens inzage hebben in je inkomsten- en uitgavenpatroon, hou je als consument verdacht weinig privacy over.
Data is het nieuwe goud. En PSD2 effent de weg om dat goud te gaan delven. Waar banken zelf altijd met handen en voeten gebonden waren aan allerlei regels die vertelden wat ze wel en vooral niet met hun klantdata mochten doen, moeten ze nu met lede ogen toezien dat derde partijen er met hun gouden eieren vandoor gaan.
Daar maakt ook hoogleraar Computerbeveiliging Bart Jacobs zich druk over. Al in 2017 waarschuwde hij in een blog voor de ‘big five’: Google, Facebook, Apple, Microsoft en Amazon. ‘Zij krijgen zo het tafelzilver van Europese banken gratis op een presenteerblaadje aangeboden. De Europese banken kunnen kosteloos leeggezogen worden, terwijl ze een niet-kosteloze betaalinfrastructuur in stand moeten houden. De bankensector raakt hierbij het contact met de eigen klanten kwijt en verliest de controle over zeer gevoelige persoonsgegevens. Ik kan geen snellere manier bedenken om een sector om zeep te helpen en in handen te geven van overzeese concurrenten.’
Gegevensversnipperaar
Een ander punt van aandacht is de bewaartermijn. Consumenten moeten volgens de wet hun toestemming weer makkelijk kunnen intrekken. Maar dat betekent niet dat dienstverleners op dat moment de data moeten verwijderen. Ze mogen de data net zo lang bewaren als ze zelf in hun voorwaarden stellen. Natuurlijk hebben consumenten in het kader van de AVG het ‘recht om vergeten te worden’. Ze kunnen dus vragen om hun gegevens te verwijderen. Maar er is geen enkele controle of dit ook daadwerkelijk gebeurt. Bovendien, welke consument kent zijn eigen rechten? De meesten denken zullen denken dat met het intrekken van hun toestemming ook hun data worden gewist. Wat gebeurt er als een bedrijf aan wie ze ooit eenmalig toestemming hebben gegeven wordt overgenomen door een bedrijf dat ze hevig wantrouwen?
Security is een ander punt van aandacht. Er zijn straks derde partijen die zeer gedetailleerde profielen hebben van consumenten boordevol privacygevoelige informatie. Beveiligingsrisico’s nemen sowieso al hand over hand toe en het aantal datalekken stijgt al jaren. Maar nu komt daar nog eens een magneetwerking voor hackers bij. Want die profielen zijn veel geld waard op het dark web.
Wat wel te doen?
Winkels en webshops krijgen sowieso met de betaalinitiatiedienst van PSD2 te maken. Zij mogen geen toeslag meer vragen voor betalingen met een gangbare creditcard, overschrijvingen, automatische incasso’s en iDEAL-transacties. Tevens komen er strengere regels voor pre-autorisaties bij pinbetalingen. Daarnaast moeten (web)winkels er rekening mee houden dat er aanbieders komen van nieuwe methoden voor elektronisch betalen aan de kassa en online (de eerder genoemde betaalinitiatiediensten). Winkeliers hebben meer keuze tussen (aanbieders van) betaalmethoden. Maar het kan ook tot rompslomp leiden als klanten continu vragen naar een methode die ze niet aanbieden.
Voor zover het de betaalinformatiediensten aangaat: wees zeer terughoudend met het verlenen van toestemming tot de rekeninginformatie van jouw bedrijf aan derde partijen, ook al leveren ze nog zo’n handige dienst. Besef dat je daarmee die derde partij eveneens inzicht geeft in alle overboekingen van jouw klanten. En die hebben er niet om gevraagd hun data te delen.
En als jij zelf een derde partij wilt worden of met een fintech wilt partneren, realiseer je dan heel goed: vertrouwen komt te voet en gaat te paard. Het zal niet moeilijk zijn om toestemming te verkrijgen van klanten als jij ze een direct merkbaar voordeel in het vooruitzicht stelt. Maar wees je wel bewust van de verantwoordelijkheid die je hiermee aangaat. Want data mag dan het nieuwe goud zijn, in de regel bewaren bedrijven dat goud lang niet zo goed als de goudstaven in de kluis bij de bank – terwijl dat wél zou moeten.
- AVG
- data
- data
- Europa
- verantwoordelijkheid
- betaalrichtlijn
- DNB
- consumenten
- compliance
- bankensector
- persoonsgegevens
- privacy
- PSD2
- consumentenbescherming