De tegenstrijdigheid in PSD2 en GDPR wet- en regelgeving
Nog steeds is een kwart van de Nederlandse bedrijven niet compliant met General Data Protection Regulation (GDPR) of in Nederland ook wel de AVG. Vooral voor banken is het lastig, omdat zij zich tegelijkertijd voor moeten bereiden op Payment Service Directions 2 (PSD2). Met open banking worden namelijk niet alleen de gegevens van de betalingsuitvoerder gedeeld, maar bijvoorbeeld ook die van de ontvanger van een betaling, zonder dat die externe partij expliciete toestemming heeft gegeven. Wat de situatie lastig maakt, is dat deze twee aangescherpte wetgevingen elkaar dus voor een gedeelte tegenspreken. Hoe moeten organisaties hiermee omgaan?
PSD2: een open tijdperk
PSD2 eist van Europese banken om derden toegang te bieden tot bankgegevens van particulieren. Hiermee wordt de van oudsher verzadigde financiële markt toegankelijk voor nieuwe spelers, zoals fintechs. Het idee dat banken consumentgegevens moeten delen met derden staat haaks op het traditionele beeld van de bank als betrouwbare bewaarder van persoonlijke gegevens. PSD2 specificeert geen sancties voor banken die de nieuwe regelgeving niet naleven, maar stelt dat EU-lidstaten hun eigen passende sancties moeten vaststellen.
Om compliant te zijn met PSD2 moeten banken derde partijen die betalingen initiëren (zogenaamde PISPs) toegang geven tot de bankgegevens van de consument, mits de consument hier ook expliciet toestemming voor heeft gegeven. Bovendien is het van belang dat consumenten zich daarbij expliciet moeten authentiseren via een tweede kanaal, in PSD2 gedefinieerd als Strong Customer Authentication (SCA). SCA houdt in dat de consument met in ieder geval twee van de drie mogelijke factoren zichzelf identificeert. De drie authenticatiefactoren zijn iets wat de persoon weet (bv. wachtwoord), iets wat de persoon bezit (bv. kaart) en iets wat de persoon is (bv. stem of vingerafdruk). Dit om te voorkomen dat hackers er gemakkelijk met de identiteit van consumenten vandoor gaan.
GDPR: geïnformeerde toestemming
GDPR vereist meer controle over persoonlijke gegevens door consumenten en zal vanaf mei 2018 van toepassing zijn op alle organisaties die de persoonsgegevens van Europese consumenten behandelen, dus ook banken. Dat betekent dat de GDPR niet alleen geldt voor Europese organisaties, maar ook andere multinationals die opereren in de EU eraan zullen moeten voldoen. Voor overtredingen geldt een maximale boete van €20 miljoen (~$23 miljoen) of vier procent van de jaarlijkse omzet, indien dat hoger uitkomt. Het is dan ook niet verwonderlijk dat uit een recent onderzoek van PwC gebleken is dat compliant worden met GDPR de hoogste prioriteit heeft op de veiligheidsagenda van meer dan de helft van de Amerikaanse bedrijven die (ook) in Europa opereren.
Wat houdt naleving van GDPR eigenlijk in voor banken? De belangrijkste boodschap van de GDPR is dat de bevoegdheid om al dan niet persoonlijke gegevens te delen met een bedrijf bij de klant moet blijven. Banken moeten ook zorgvuldig en volledig transparant zijn in het informeren van klanten over hoe hun persoonlijke gegevens worden gebruikt.
Alle ballen hooghouden
Voldoen aan beide voorschriften kan lastig zijn. Waar PSD2 voor een open tijdperk wil zorgen waarin particuliere bankgegevens beschikbaar en deelbaar moeten zijn voor nieuwe, innovatieve partijen, schrijft de GDPR juist voor om consumentgegevens beter te beschermen. Hoe voldoen banken dan aan beide regelgevingen?
De oplossing hiervoor kan authenticatie via de mobiele telefoon zijn. Wanneer derden verzoeken om toegang tot gevoelige informatie, is toestemming hiervoor geven met nieuwe technologie net zo eenvoudig als het accepteren of weigeren van een pushmelding. De PSD2 schrijft namelijk voor dat consumenten zich op twee manieren moeten authentiseren en dit kan volledig op de smartphone: de telefoon geldt als een authenticatiefactor die de consument bezit, en de tweede authenticatiefactor is dan bijvoorbeeld een biometrische toepassing via de smartphone, zoals een vingerscan.
Dit is een gebruiksvriendelijke manier om SCA mogelijk te maken, want de klant voelt zich gesterkt doordat hem expliciet gevraagd wordt om zijn toestemming, zonder dat hij wordt onderworpen aan omslachtige en tijdrovende authenticatieprocessen. Het zware werk gebeurt immers op de achtergrond. Deze methode voor het extraheren van bewijs van toestemming met een handige, op smartphone-gebaseerde oplossing maakt de naleving van zowel PSD2- als GDPR-richtlijnen een stuk makkelijker. Voor PSD2 is er de SCA en voor GDPR is er de gegevenscontrole en expliciete instemming over de gegevens door de consument zelf.
Met zo veel verschillende en potentieel zelfs tegensprekende eisen om aan te voldoen, is de beste keuze die een bank kan maken om zich aan te sluiten bij een ervaren en goed geïnformeerde IT-partner, die kan helpen bij het sturen door de verraderlijke, maar ook kansrijke wateren van regelgeving.
Een artikel van Claudius van der Meulen, SVP Entersekt Europe