De geactualiseerde Payment Service Directive (PSD2) uit 2015 (!) verplicht banken om, vanaf 1 januari 2018, rekeninginformatie te ontsluiten voor derden. Onlangs ontstond hier weer ophef over toen Trouw beweerde dat als gevolg hiervan onze bankgegevens handelswaar worden. Met als gevolg dat na een dagje uitbundig kerstinkopen doen je bezoek krijgt van de sociale dienst met de vraag waar je dat allemaal van hebt kunnen doen. Dit allemaal onder het nobel doel van fraudebestrijding nietwaar. (Eerlijk is eerlijk: Trouw noemde een veel minder indringend voorbeeld, iets met advertenties en zo ;-)
Gelukkig nuanceerde Trouw dit een dag later: de banken verkopen de gegevens niet, maar moeten die verplicht, zonder kosten, aanleveren aan derde partijen. En deze derde partijen zijn niet zomaar willekeurige commerciële bedrijven die je op grond van die data kunnen profileren en met advertenties bestoken. Nee, het zijn financiële dienstverleners die, met een vergunning, rekeninginformatiediensten en/of betalingsinitiatiediensten aanbieden. En als laatste: de klant moet altijd toestemming geven.
Er zijn overigens zeer goede redenenen om de Payment Service Directive te actualiseren. Er komen steeds meer handige Internet-gebaseerde betaaldiensten en financiële informatiediensten op de markt. Denk aan onafhankelijk hypotheekadvies, elektronische huishoudboekjes, betalen met je mobiele telefoon of met één click in de webshop. Die diensten zouden nog handiger en efficiënter worden als die direct toegang zouden krijgen tot je eigen bankrekening. Maar banken geven die toegang maar mondjesmaat om hun monopolypositie te beschermen. Om toch toegang te krijgen, proberen de nieuwe dienstverleners vervolgens via omwegen alsnog toegang te krijgen. Dat is niet veilig, en niet legaal.
Maar toch.
De Autoriteit Financiële Markten (AFM) is bijvoorbeeld bezorgd. Onder andere omdat het toezicht versnipperd is. Zo moet een bedrijf die dergelijke diensten aan wil bieden een soort bankvergunning aanvragen. Maar omdat de PSD2 een Europese wet is voldoet een vergunning afgegeven door een willekeurige Europese lidstaat. Cybercriminelen of andere kwaadwillenden kunnen dus een vergunning aanvragen in een lidstaat waar het toezicht minder goed geregeld is. Malta of Cyprus bijvoorbeeld.
En wat te denken van het volgende nieuwsbericht. De Britse Barclays bank wil het mogelijk maken dat hun klanten in de toekomst hun saldo via Facebook kunnen checken. Lekker makkelijk: je bank saldo bovenaan je persoonlijke Facebook pagina. Ook dit maakt de PSD2, volgens Barclays, mogelijk. Maar dit geeft wel aan dat er een groot verschil zit in interpretatie van wat de PSD2 mogelijk maakt. Ik mag in ieder geval hopen dat een Amerikaanse informatiemoloch als Facebook geen Europese bankvergunning gaat krijgen!
Nu zijn de banken zelf ook lang niet altijd de betrouwbare hoeders van onze gevoelige financiële gegevens. Twee jaar geleden kondigden verschillende Nederlandse banken aan dat zij op basis van individuele transactiegegevens van hun rekeninghouders bedrijven de mogelijkheid willen bieden om gericht te adverteren. Dat liep met een sisser af en de banken lijken zich nu iets bewuster van hun verantwoordelijkheid. Maar hoe zit dat met de nieuwe financiële dienstverleners als Bunq, Knab, AFAS, PayPal? Voelen die zich net zo verantwoordelijk voor onze zeer gevoelige persoonlijke financiële gegevens?
De Autoriteit Persoonsgegevens (AP) zegt de ontwikkelingen scherp in de gaten te houden. Veel zal afhangen van de handhaving. Die is lastiger als het om wereldwijd opererende bedrijven als PayPal of Facebook gaat. Zeker voor een kleine organisatie als de Autoriteit, die van de Tweede Kamer geen extra geld krijgt. En met twee verantwoordelijke toezichthouders (de AFM en de AP) is het risico levensgroot dat zij naar elkaar gaan wijzen terwijl gedupeerden tussen de wal en het schip terecht komen.
Op dit moment worden de technische normen bepaald waaraan de toegang tot onze financiële gegevens door derden moet voldoen. Laten we er naar streven die zo veilig en privacyvriendelijk mogelijk te maken. Bijvoorbeeld door expliciete toestemming te vereisen en de mogelijkheid te beiden om in één keer voor altijd toestemming te weigeren. Keuzevrijheid is mooi, maar wel binnen veilige grenzen om burgers tegen verkeerde keuzes te beschermen. Zeker als je weinig geld hebt, heb je soms maar weinig te kiezen. Een beetje paternalisme is in dit geval niet verkeerd.
Deze column verscheen op 17 december 2016 in het Morgen katern van het FD