Privacy First stelt PSD2-me-niet-register voor

10 januari 2019 Banken.nl 4 min. leestijd

Op de formele invoering van PSD2 is het nog even wachten, maar non-profitorganisatie Privacy First vreest al voor de privacygevolgen van de wetgeving. Door de toename in toegankelijkheid en uitwisseling van gegevens weten consumenten vaak niet meer welke data waar rondzwerft, claimt Privacy First. Een PSD2-me-niet-register zou soelaas kunnen bieden.

In essentie is PSD2 bedacht om innovatie op de betaalmarkt aan te wakkeren. De stelling is dat de macht van grote banken erg groot is en dat er zonder druk van buitenaf onvoldoende aansporing is tot innovatie. Door PSD2 worden banken verplicht om financiële gegevens van klanten vrij te geven aan andere financiële bedrijven als die daar om vragen en als de consument daarvoor goedkeuring geeft. Zo ontstaat een nieuw ecosysteem waarin ruimte is voor nieuwe bedrijfjes om de markt te betreden. Bijvoorbeeld door nieuwe vormen van (online) betalen aan te bieden of digitale huishoudboekjes op basis van transactiegegevens. Zeker voor iemand die rekeningen bij verschillende banken heeft lopen biedt PSD2 nieuwe mogelijkheden die tot op heden ondenkbaar waren.

Consumentenprogramma Radar besteedde deze week aandacht aan PSD2, specifiek vanuit het oogpunt van privacy. Want er vliegt nogal wat data rond van consumenten. Mede daarom is medio vorig jaar de GDPR (of in het Nederlands AVG) ingevoerd, die consumenten weer zeggenschap over hun eigen data moet teruggeven. Bedrijven die data van Europese consumenten verhandelen zijn sindsdien gebonden aan strenge regels wat betreft de inzet, opslag en beveiliging van die data. Men hoeft geen professor te zijn om in te zien dat er een zeker spanningsveld ontstaat tussen PSD2 en GDPR

Diverse zorgen

Voordat de PSD2-wetgeving definitief van kracht wordt in Nederland trekt privacy-waakhond Privacy First alvast aan de bel. De organisatie maakt zich ernstige zorgen. Consumenten kunnen bijvoorbeeld niet aangeven dat banken slechts een deel van hun bankgegevens mogen vrijgeven. Ook wanneer een andere financiële partij niet alle data nodig heeft wordt toch alle data gedeeld. Daarbij komt dat bij het vrijgeven van gegevens van iemand die daar zelf om vraagt automatisch ook data van tegenrekeningen wordt meegenomen. Die persoon heeft daar niet uitdrukkelijk toestemming voor gegeven en kan het evenmin verhinderen. Ten slotte kan via transactiegegevens duidelijk worden waar iemands politieke of seksuele voorkeur ligt, bijvoorbeeld door een contributie aan een politieke partij of bijvoorbeeld een homobelangenorganisatie. Data die wel gedeeld wordt, maar niet direct nodig is om bijvoorbeeld een huishoudboekje te laten functioneren.

Meer dan een vinkje zetten

Volgens Gijs Boudewijn van Betaalvereniging Nederland zijn financiële bedrijven aan strenge regels gebonden. In de uitzending zegt hij: “De consument moet van tevoren goed weten waar die aan toe is. In Nederland moet de consument per keer dat hij goedkeuring geeft voor het verstrekken van rekeninginformatie, bij zijn eigen bank of bij de derde partij een éénmalige persoonlijke toegangscode invoeren. Voor het verstrekken van rekeninginformatie is het zetten van een simpel vinkje niet genoeg.” Toch moet ook hij erkennen dat het geval van automatische deling van data van tegenrekeningen momenteel niet te verhinderen is. Daarvoor is aanpassing van de wet nodig.

Privacy First vreest dat mensen te makkelijk akkoord zullen gaan met privacyvoorwaarden, zonder ze eigenlijk goed te lezen. Op die manier kunnen ze de grip over hun data verliezen, waarbij niet duidelijk is welke data in wiens bezit is. En juist daarvoor is de GDPR ingevoerd. “Er kleven grote privacy risico’s aan. Je geeft één keer toestemming en dat is een soort carte blanche. Het klonk in eerste instantie allemaal erg innovatief al die nieuwe diensten, maar onduidelijk is wat de bedrijven gaan doen met al die data?”, aldus woordvoerder Martijn van der Veen tegen Radar. Ook bestaat er vrees over het toezicht, dat versnipperd is over vier verschillende toezichthouders: DNB, AFM, ACM en AP (Autoriteit Persoonsgegevens). Op papier is er afstemming, maar de praktijk moet gaan uitwijzen of dat gaat werken.

Opt-out mogelijkheid

Van der Veen stelt dat er een mogelijkheid moet komen waarmee consumenten kunnen opt-outen, vergelijkbaar met het bel-me-niet-register tegen telemarketing. Hier moeten consumenten zich kunnen aanmelden als ze niet willen dat hun betaalgegevens gedeeld worden met anderen. Het is een proefballonnetje van Privacy First en de kans is aannemelijk dat het dat voorlopig blijft. Daarvoor moet PSD2 namelijk aangepast worden en dat vereist weer afstemming op Europees niveau.