De Rabobank stuurde vorige week de nieuwe bankvoorwaarden naar al haar klanten. In deze mail maakte de bank melding van de Payment Services Directive (PSD2), maar de bank legde niet duidelijk uit wat deze nieuwe Europese betaalwetgeving inhoudt. Radar dook in PSD2. Wat is het? Wat zijn de voor- en nadelen?

Vlak voor de uitzending is er een wetsvoorstel voor PSD2 naar de Tweede Kamer gestuurd. In dit voorstel komt het woord privacy of privégegevens niet voor. De wetgever heeft het over persoonsgegevens. Het wetsvoorstel liep vertraging op, omdat er veel aandacht was voor de bescherming van persoonsgegevens. Een woordvoerder van het ministerie van Financiën schrijft: 'Persoonsgegevens worden altijd beschermd via de algemene privacyregelgeving; vanaf mei 2018 is dat de Algemene Verordening Gegevensbescherming (AVG). Dat geldt ook voor de persoonsgegevens die vallen onder PSD2.'

Wat is PSD2?

Op 13 januari 2018 is de nieuwe herziene Europese betaalrichtlijn PSD2 in heel Europa van kracht. PSD2 staat voor Payment Services Directive 2. Alleen als een klant uitdrukkelijk toestemming geeft, zijn banken verplicht bankgegevens te delen met andere dienstverleners. De nieuwe aanbieders krijgen dan inzage in het banksaldo of kunnen rekeningafschriften ophalen van de betaalrekening van consumenten. Voor iedere aanbieder afzonderlijk moet toestemming gegeven worden. De Volksbank maakte een filmpje over hoe PSD2 werkt.

Wat zijn de voordelen van PSD2?

De verwachting is dat er nieuwe handige toepassingen komen. Nieuwe aanbieders kunnen voor de consument betalingen uitvoeren bij bijvoorbeeld een online-aankoop. In Nederland lopen we op dit gebied behoorlijk voor. Denk aan een iDEAL, die in in Nederland goed is ingeburgerd en via de eigen bank verloopt. Of Tikkie, waarbij je vrienden via WhatsApp een betaalverzoek zonder moeilijke IBAN-nummers kan sturen.De rest van Europa loopt minder voorop in betaalgemak. Straks kun je in heel Europa betalen via andere fintechbedrijven (financiële technologie bedrijven) en niet meer alleen via je eigen bank.

Deze nieuwe financiële aanbieders kunnen ook digitale huishoudboekjes aanbieden, zodat je meer grip hebt op je financiën. Handig als je bijvoorbeeld bankiert bij verschillende banken en overzicht wil hebben over al je inkomsten en uitgaven. Nu moet je bij iedere bank afzonderlijk inloggen en straks kunnen al je bankgegevens overzichtelijk in één app staan. Of hypotheekverstrekkers hebben – na toestemming - meteen inzage in je financiële gegevens en je krijgt korting op je hypotheek, omdat het proces sneller verloopt. De verwachting is dat start-ups en grote internetbedrijven als Google, Facebook, Apple, Microsoft en Amazon interesse hebben in deze nieuwe mogelijkheden. In de Europese betaalmarkt gaat 170 miljard euro om en bankgegevens zijn waardevolle gegevens.

Meer concurrentie en innovatie

De Europese Commissie bedacht PSD2 en wil de monopoliepositie van banken doorbreken en nieuwe spelers toelaten. Dit zou de concurrentie verbeteren, de innovatie bevorderen en de banktarieven zouden mogelijk dalen. Ook zou het betalingsverkeer veiliger worden. Gijs Boudewijn, woordvoerder van Betaalvereniging Nederland is te zien in Radar. Hij zegt dat alle banken verplicht worden hieraan mee te werken. De consument is hierbij 'in control', die beslist wie wel en geen toegang krijgt tot zijn of haar bankgegevens.

Vertraagd tot voorjaar 2018

Op 12 januari 2016 werd de nieuwe richtlijn opgesteld en alle EU-landen kregen twee jaar de tijd om deze om te zetten in nationale wetgeving. De Nederlandse overheid is niet op tijd klaar. Minister Dijsselbloem van Financiën schreef op 22 september dat 'voorjaar 2018 een realistische inschatting is' voor Nederland. Nieuwe bedrijven kunnen pas een vergunning aanvragen bij De Nederlandsche Bank (DNB) als het wetvoorstel door de Tweede en Eerste Kamer is goedgekeurd. Naast Nederland halen ook Zweden en België de deadline van 13 januari 2018 niet.

Minister Dijsselbloem heeft maandag in een Kamerbrief uitgelegd wat de gevolgen zijn voor het niet halen van de deadline. De deadline wordt volgens de minister vanwege een 'privacyaspect' niet gehaald.

Vergunningen

Nieuwe financiële dienstverleners kunnen bij DNB twee verschillende vergunningen aanvragen:

Betaalinitiatieservices: zij kunnen een saldo-check uitvoeren. Heb je voldoende geld op je rekening staan om een product te bestellen. En ze verrichten online-betalingen namens de rekeninghouder. Een soort iDEAL, maar dan via een fintechbedrijf.

Rekeninginformatieservices: ze kunnen bankafschriften downloaden en die importeren in een kasboekje.

Machtsstrijd

Achter de schermen vindt een machtsstrijd plaats tussen de banken en de nieuwe aanbieders over vier punten. Banken zijn bang dat ze het contact met de klant verliezen en hun 'kapitaal' kwijtraken. Zij zijn nu de enige die betalingen kunnen verrichten en ze raken dat alleenrecht kwijt.

Hoe zit het met de privacy?

Ook speelt er een discussie hoe de nieuwe aanbieders toestemming krijgen van de consument, en hoe toegang tot de betaalrekening en of de privacy van de klant voldoende is gewaarborgd. De banken willen niet alle poorten opzetten naar alle klantgegevens en de fintechbedrijven willen juist zo min mogelijk beperkingen. Ze willen automatisch toegang tot dezelfde bankgegevens als de klant. Waarin hebben ze dan inzage?

Regels nog niet vastgesteld

Ondanks dat de PSD2 op 13 januari 2018 in werking treedt, zijn een aantal essentiële zaken nog niet geregeld. Het ministerie van Financiën laat Radar weten: 'De regels met betrekking tot het verlenen van toegang tot de betaalrekening en de toestemming hiervoor van de consument zijn nog niet vastgesteld. Het verlenen van toegang tot de betaalrekening gaat via uitdrukkelijke toestemming van de consument en de betaalinitiatie- of rekeninginformatiedienstverlener, niet tussen de consument en de bank.' Meer over 'toegang tot de betaalrekening' en 'uitdrukkelijke toestemming' is te lezen in het Implementatiebesluit herziene richtlijn betaaldiensten.

Inval om tegenwerking

Die vertraging en felle strijd tussen banken en fintechbedrijven was voor de Europese Commissie de aanleiding om op 3 oktober een inval te doen bij de Nederlandse Vereniging van Banken (NVB) en de Betaalvereniging Nederland, omdat de banken nieuwkomers in de financiële sector zouden tegenwerken.

Hoe geef je toestemming tot inzage van je bankgegevens?

Hoe geeft de consument straks toestemming tot inzage in zijn bankgegevens? Wie kent niet de vaak vijftig pagina’s tellende voorwaarden in kleine lettertjes in onbegrijpelijke juridische taal. We klikken al heel snel op het vinkje om verder te gaan. Daarom houdt de Autoriteit Financiële Markten goed in de gaten of de nieuwe dienstverleners niet oneigenlijk gebruik maken van transactiegegevens en of vóóraf goed duidelijk is gemaakt wat ze precies doen met de opgevraagde gegevens. En wordt de opgevraagde uiterst privacygevoelige informatie veilig opgeslagen, zodat ze niet per ongeluk op straat belanden.

Toegang tot je rekening

Ook over de veilige toegang tot een betaalrekening is ruzie. Er is nog geen besluit genomen hoe dat zou moeten. Wel dat minimaal twee van de drie persoonlijke en vertrouwelijke kenmerken nodig zijn:

Iets wat alleen de klant weet, bijvoorbeeld een geheim wachtwoord of pincode.

Iets wat alleen de klant bezit, bijvoorbeeld een persoonlijke betaalpas of mobiele telefoon.

Een persoonlijk en uniek fysiek kenmerk van de klant, zoals een vingerafdruk of selfie.

Vier toezichthouders

Vier Nederlandse toezichthouders controleren of alle partijen zich aan de PSD2-regels houden.

De Nederlandsche Bank (DNB): alle nieuwe aanbieders moeten hier een vergunning aanvragen en voldoen aan strenge eisen en voorwaarden. De toezichthouder kan de vergunning ook weer intrekken. De Autoriteit Persoonsgegevens (AP) houdt toezicht op de opslag van data en of de rekening- en persoonsgegevens goed beveiligd zijn. En dat er geen data-lekken zijn. De Autoriteit Consument & Markt (ACM) kijkt of nieuwe toetreders niet worden tegengewerkt. Is er voldoende concurrentie en is er geen sprake van kartelvorming? De Autoriteit Financiële Markten (AFM) is gedragstoezichthouder en kijkt of consumenten vóóraf goed worden geïnformeerd. Waar verleent de consument toestemming voor?

Toezicht versnipperd

Reinier Pollmann, toezichthouder bij de AFM waarschuwt dat 'de controle op die diensten te versnipperd is. Dus lopen klanten gevaar dat hun betaalgegevens worden misbruikt', zei hij eerder tegen de NOS.

Consumentenbond: 'Hoe is privacy gewaarborgd?'

Ook de Consumentenbond maakt zich zorgen over de privacy van consumenten. Woordvoerster Joyce Donat: 'We hebben nog niet duidelijk hoe de privacy is gewaarborgd. Dat moet echt dichtgetimmerd zijn. Je wilt niet dat dit soort privégegevens gaan rondzwerven of dat je gespamd wordt door commerciële bedrijven, waar je niet op zit te wachten.'

De Consumentenbond zou willen dat de accountant bij de boekcontrole ook meteen de datastromen controleert. 'Dan heb je een constante check. En dan moet je verantwoording afgeven hoe je met data omgaat.'

Ook Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit in Nijmegen vreest privacy-problemen. Hij zegt in Radar dat hij verwacht dat de invoering van PSD2 'een enorme chaos en puinhoop' wordt. Hij omschrijft PSD2 in een kritische blog als 'een Europese strategische blunder'.

Cowboys

'Er is te weinig geregeld op het gebied van privacywetgeving en verantwoordelijkheden rondom de bescherming van klantgegevens. De Europese Commissie denkt alleen maar aan mededinging en meer concurrentie en kijkt onvoldoende naar de gevaren. We zeggen continu tegen consumenten ‘deel nooit je pincode en inloggegevens met anderen’. En nu komen er wellicht allerlei cowboys op de markt, die consumenten van alle kanten bestelen van hun bankgegevens', zegt Jacobs.

Businessmodel verwerken van persoonsgegevens

De hoogleraar zegt bankgegevens zijn goud waard. 'In de digitale economie hebben zorgvuldig opgebouwde verzamelingen van persoonsgegevens grote waarde. En het businessmodel van deze nieuwe dienstverleners is het verwerken van deze persoonsgegevens.

Wat gaan ze doen met jouw gegevens? Google kan bijvoorbeeld eigen financiële diensten opzetten en die vervolgens koppelen aan alle gegevens die ze inmiddels over je hebben opgeslagen. Willen we dit? Of zeggen we over vijf jaar: hoe hebben we dit ooit kunnen laten gebeuren!'

Manipuleren van de prijs

Jacobs vreest ook voor het sturen en manipuleren van de consument in de vorm van differential pricing: het afhankelijk maken van de prijs van een product van de persoonlijke omstandigheden van de koper. Je weet namelijk precies wat iemand te besteden heeft.

Wat als er iets misgaat?

En wat als er iets misgaat? Je bankrekening wordt gehackt of leeggetrokken? Gijs Boudewijn van de Betaalvereniging Nederland stelt consumenten gerust. Je hoeft niet naar je centen te fluiten. 'Dan ga je naar je eigen bank en niet naar de derde partij. Je eigen bank stelt de klant schadeloos minus 50 euro eigen risico. Je krijgt alleen geen compensatie als je grof nalatig bent geweest. De bank verhaalt de schade vervolgens bij de derde partij. En de nieuwe aanbieders zijn verplicht een verzekering af te sluiten om dit soort schades te vergoeden. Zonder zo’n vergunning krijg je geen vergunning van DNB.'

Daarnaast kan de Autoriteit Persoonsgegevens ook forse boetes uitdelen als bankgegevens op straat belanden, tot zelfs 4 procent van de wereldwijde omzet van een bedrijf. Maar ja, dan is het kwaad geschied en is het bijna niet meer terug te draaien. Bovendien zijn de privacyregels in PSD2 minder streng dan de nieuwe Algemene verordening gegevensbescherming (AVG) die op 25 mei 2018 van kracht gaat. Die regels schuren met elkaar.

Zonder toestemming, verandert er niets

Uiteindelijk beslist de consument of die gebruik gaat maken van de nieuwe dienstverleners. Jij kunt ook besluiten niets te doen en dan verandert er niets aan de huidige situatie. Nieuwe aanbieders hebben pas toegang tot jouw bankrekening, mits jij uitdrukkelijk toestemming hebt gegeven. En de consument kan ook op ieder moment zijn toestemming weer intrekken. Kijk op de site van de Nederlandse Vereniging van Banken voor veelgestelde vragen over PSD2.