Ontwikkelt PSD2 zich nu al in een gevaarlijke richting?
Op 19 februari 2019 is PSD2 in de Nederlandse wet verankerd. De wet maakt het mogelijk dat rekeninghouders toestemming verlenen aan derde partijen om hun rekeninginformatie te delen of zelfs betalingen te laten initiëren vanaf hun betaalrekening bij de bank. Een recente ontwikkeling is dat bedrijven de PSD2-vergunningsplicht kunnen omzeilen door gebruik te maken van de licentie van vergunninghouders, via een ‘License as a Service’-constructie. Paul Jans - Managing Director van Enigma Consulting - gaat in op de risico’s die deze ontwikkeling met zich meebrengt.
Om diensten onder PSD2 te mogen verlenen hebben deze partijen een vergunning van toezichthouder DNB nodig. Inmiddels zijn enkele tientallen partijen in het bezit van deze vergunning en de verwachting is dat dit aantal in de komende periode nog flink zal toenemen. De maatschappelijke kritiek op het delen van persoonsgegevens klinkt heden ten dage een stuk minder hard door dan in voorgaande jaren. Het feit dat rekeninginformatiedienstaanbieders vergunningsplichtig zijn en daardoor ook aan strikte beveiligingsvereisten en privacy-gerelateerde voorwaarden moeten voldoen lijkt hier debet aan. De vergunning sterkt de rekeninghouder in het vertrouwen dat zijn rekeninginformatie goed wordt beschermd wanneer deze wordt gedeeld.
Vergunningsplicht omzeilen
Het is de vraag hoe lang deze relatieve rust nog in stand blijft. In de markt zijn namelijk verscheidene initiatieven zichtbaar waarmee bedrijven die betaalrekeninginformatie van hun klanten of prospects willen inzien, de vergunningsplicht kunnen omzeilen. Sommige van de vergunninghoudende partijen beogen bijvoorbeeld om ‘License as a Service’ als product aan te bieden.
Hun bedrijfsmodel bestaat er kortgezegd uit dat zij aan niet-vergunninghoudende partijen de mogelijkheid bieden om via hun vergunning tóch betaalrekeninginformatie van klanten op te kunnen vragen. De klant moet dan toestemming geven aan zowel haar eigen leverancier als aan de haar onbekende vergunninghoudende partij en dan ook nog zowel een PSD2-toestemming als een AVG-toestemming.
De European Banking Authority (EBA) heeft in een verklaring gesteld dat PSD2 niet vereist dat de rekeninginformatie enkel ter beschikking mag worden gesteld aan de rekeninghouder. Maar meer relevant dan de vraag of bovenstaande constructie juridisch houdbaar is, is de vraag of deze ontwikkeling maatschappelijk wenselijk is.
Wanneer vergunninghoudende partijen gaan optreden als tussenpersonen tussen onderneming en consument neemt de keten en daarmee ook het risicoprofiel in omvang toe. Hoe is de verantwoordelijkheid voor klantonderzoek georganiseerd? Wie is er aansprakelijk indien het niet-vergunninghoudende bedrijf onzorgvuldig omgaat met de verkregen rekeninggegevens? Strookt de toestemming met de feitelijke opgevraagde gegevens? Er is in ieder geval één Europese lidstaat die de interpretatie kiest dat de rekening informatie service direct aan de rekeninghouder moet worden verstrekt.
Gebrek aan aandacht
In de politieke en maatschappelijke discussie wordt tot op heden niet intensief ingegaan op het fenomeen ‘License as a Service’. Dit gebrek aan aandacht strookt niet met de risico-impact die introductie van deze marktspelers in potentie met zich mee kan brengen. Om de discussie omtrent het delen van persoonsgegevens niet opnieuw te laten oplaaien is het van groot belang dat duidelijk wordt gemaakt hoe de toezichthouders de aan deze partijen gerelateerde risico’s denken te kunnen beheersen. Alleen door het bieden van duidelijkheid kan worden gewaarborgd dat de met PSD2 beoogde innovatieslag niet bij voorbaat wordt verloren door hernieuwde privacy-gerelateerde angst en achterdocht bij de consument.