Betekent PSD2 een inbreuk op de privacy?
Door de komst van de EU-richtlijn Payment Services Directive 2 (PSD2) is de discussie over het verspreiden van privacygevoelige klantgegevens behoorlijk opgelaaid. Na het invoeren van deze richtlijn kunnen bedrijven met een vergunning als betaalinstelling inzage krijgen in betaalgegevens van rekeninghouders. De afgelopen jaren gaven verschillende partijen al te kennen dat zij transactiegegevens van pingebruikers wilden verkopen aan winkeliers. Dit leverde veel negatieve publiciteit op. PSD2 leidt dan ook tot veel onrust over de privacy. Is deze onrust terecht?
Waarom PSD2?
De eerste PSD richtlijn is in 2007 ingevoerd om de concurrentie in de ‘payments industry’ te verbeteren en drempels voor nieuwe toetreders, niet-bancaire instellingen, weg te nemen. In de tussentijd zijn er nieuwe betaaldiensten op de markt gekomen die niet onder deze richtlijn vallen. Bijvoorbeeld toegang tot betaalgegevens door niet-bancaire instellingen. Dit vond de regelgever een niet-gewenste ontwikkeling en daarom heeft hij de PSD richtlijn herzien in PSD2.
Per januari 2018 moeten alle EU-lidstaten de PSD2 richtlijn hebben doorgevoerd. Deze nieuwe richtlijn verplicht banken om derden met een vergunning als betalingsinstelling toegang te verlenen tot betaalgegevens van hun klanten, mits de betreffende klanten daarvoor hun toestemming hebben gegeven. De betaalgegevens geven inzicht in welke aankopen de rekeninghouders hebben verricht, waar zij hun geld pinnen, hoeveel geld er maandelijks binnenkomt en hoeveel er uitgegeven wordt. Met deze transactie- en saldigegevens kunnen bedrijven consumenten beter voorzien van op maat gemaakte diensten, aanbiedingen en advertenties.
De belangrijkste reden voor het invoeren van PSD2 is het stimuleren van innovatie en (grensoverschrijdende) concurrentie. De regelgever is van mening dat meer openheid in het betalingsverkeer zorgt voor meer concurrentie met als gevolg een efficiënter Europees betalingsverkeer, lagere kosten voor transacties én meer diversiteit in betaalmethoden.
De risico’s
Zijn alle risico’s uitgesloten doordat rekeninghouders zelf toestemming moeten geven voor inzage in hun betaalgegevens? De vrees bestaat dat rekeninghouders te snel toestemming geven, bijvoorbeeld als er bepaalde kortingen in het vooruitzicht worden gesteld, zonder dat zij goed op de hoogte zijn van de consequenties van hun toestemming. De AFM waarschuwt voor een toename van cybercriminaliteit en van de invloed die grote bedrijven als Facebook, Google en Amazon kunnen uitoefenen. Volgens Reinier Pollmann van de AFM kunnen bedrijven die betaalgegevens in handen krijgen, prachtige diensten voor consumenten ontwikkelen. Maar daar kunnen ze ook hele nare dingen mee doen. Volgens Pollmann is er nu te weinig zicht op de nieuwe diensten. Het toezicht is te versnipperd, waardoor consumenten eerder het risico lopen dat hun betaalgegevens worden misbruikt, aldus de toezichthouder.
Voordelen
Op dit moment domineren de banken het betaalproces. De verwachting is dat PSD2 de opkomst van nieuwe diensten en producten stimuleert die het makkelijker en goedkoper maken om betalingen te verrichten. Als rekeninghouders toegang verlenen tot de gegevens van hun betaalrekeningen is het voor hen straks mogelijk om rechtstreeks vanuit bedrijfssoftware, een app of webshop betalingen te verrichten. Er is dan geen bankomgeving meer nodig. Het maakt ook de weg vrij voor innovatieve diensten die de financiële huishouding makkelijker en goedkoper maken, zoals huishoudboekjes, analyses over je geldstromen, automatisch ingevulde hypotheekaanvragen of beleggingsadviezen. Daarnaast hoeven rekeninghouders nooit meer van bankomgeving te wisselen om hun rekeningen van verschillende banken te raadplegen. Via een app kunnen alle transacties in één overzicht inzichtelijk worden gemaakt, zodat je één compleet financieel plaatje hebt.
Een gevaar voor de privacy?
Alle partijen die straks over betaalgegevens beschikken, moeten zich aan de wet houden. Anders lopen ze kans om straffe boetes te krijgen die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet. Volgens de wet moeten deze (niet-bancaire) instellingen van tevoren aan de rekeninghouder melden wat ze precies met de gegevens gaan doen. De betreffende bedrijven moeten zich ook aan de Europese privacywetgeving houden en ze staan onder toezicht. Banken zijn verplicht om de toestemming, die ze namens hun klanten gaan geven aan derde partijen, goed en veilig te regelen.
Bovendien houden de financiële toezichthouders in Nederland in de gaten welke partijen hiervoor een vergunning krijgen. Daar zijn strenge voorwaarden aan verbonden. Ondanks deze strenge regelgeving en toezicht is het raadzaam om als rekeninghouder zelf alert te blijven. Iedereen moet zich bewust zijn van welke gegevens ze delen met welke partijen. Het is niet uitgesloten dat malafide bedrijven of organisaties de betaalmarkt betreden. Om het gevaar op inbreuk op de privacy te minimaliseren is het aan de rekeninghouder om eerst onderzoek te doen naar de betrouwbaarheid van de betreffende partij alvorens die partij toestemming te geven voor inzage in zijn of haar betaalgegevens.
Een artikel van Suzanne van der Hoorn, Specialist Legal bij EIFFEL.