Stel, je gaat een dagje ouderwets winkelen. Je koopt een merktrui bij de Bijenkorf en een hapjespan bij de Hema. Vervolgens ga je gezellig lunchen bij een hip aziatisch eettentje, en schaft ook nog jeans aan in een flagshipstore. Je eindigt met een gintonic in het WT Urban Café & Kitchen in de oude watertoren van Utrecht. Aan cash doe je niet meer, alle betalingen zijn met pin of creditcard gedaan.



Een paar dagen later stroomt opeens je mailbox vol met berichten van grote en kleine bedrijven die blijkbaar precies weten wat jij die dag waar en voor hoeveel hebt gekocht. De volgende keer kan je beter een jeans bij hen kopen of lekkerder Thais bij jou om de hoek eten. Geen fijn gevoel, het dagje uit krijgt een nare bijsmaak.



Ooit heb je toestemming aan je bank gegeven jouw betaalgegevens te leveren aan een fintechbedrijf dat beleggingsapps ontwikkelt. Er daarbij van uitgaand dat het fintechbedrijf jouw betaalgegevens voor zich zelf houdt. Dat is dus blijkbaar niet gebeurd.



Onder nieuwe Europese regelgeving( PSD2) zijn banken straks verplicht betaalgegevens van hun klanten te leveren aan derden als die daarom vragen. Die partijen hebben daar wel een vergunning voor nodig. Ook moet de klant hier toestemming voor geven, iedere keer dat de betaalgegevens in andere handen overgaan. Dat is wettelijk vastgelegd onder een aantal voorwaarden: aan wie de gegevens worden verkocht, welk deel van de betaalgegevens worden geleverd en voor welk doel ze worden verkocht. Ook moet een consument altijd nee kunnen zeggen.



(Tekst gaat verder onder afbeelding)

Meer uitleg Lees ook: Wie krijgt er straks inzage in je bankgegevens? Zes vragen.

Beeld Trouw

Maatschappelijk wenselijk

Is bovenstaand voorbeeld dan pure fictie of toch mogelijk in de toekomst? De woordvoerder van de Autoriteit Persoonsgegevens verschuilt zich achter het formele wettelijke kader. Alle partijen die straks over betaalgegevens van consumenten beschikken, zullen zich aan de wet moeten houden op straffe van boetes die op kunnen lopen tot 20 miljoen euro. Of deze ontwikkeling ook maatschappelijk wenselijk is, ligt volgens haar bij de politiek. Op de vraag hoe straks moet worden gecontroleerd dat betaalgegevens geen eigen leven gaan leiden in cyberspace, antwoordde zij dat de Autoriteit Persoonsgegevens goede onderzoekers in huis heeft.



Toezichthouder AFM is wel bezorgd. "We hebben te maken met een snelle groei van geavanceerde digitale diensten in de internationale samenleving", zegt Reinier Polmann van AFM. "De Nederlandse overheid heeft op dit gebied nog een slag te maken. Daarom kunnen we nu nog geen adequaat tegenwicht bieden aan eventueel misbruik van betaalgegevens." Door internationaal samen te werken, verwacht Pollmann rotte appels eerder op te kunnen sporen en ook beter als gesprekspartner te kunnen dienen voor grote internationale concerns. Toch ziet hij eerder problemen ontstaan bij kleine ondernemingen die onder de publieke radar blijven. Die zouden makkelijker kunnen zwichten en gegevens tegen de regels doorverkopen. "Dominante ondernemingen als Alibaba of Google zullen redelijk veilig met betaalgegevens omgaan", verwacht hij.



Toch is het heel raadzaam om als consument zelf alert te blijven. "Banken mogen bijvoorbeeld niet rechtstreeks betaalgegevens van elkaars klanten kopen. Maar Rabobank kan bijvoorbeeld wel een applicatie ontwikkelen waar de klant ook zijn ABN Amro-rekening in kan zetten voor het gemak", aldus Pollmann. En dan kan het zomaar gebeuren dat Rabo een hypotheekaanvraag afwijst op basis van inkomenseisen. Zou de hypotheekverstrekker dan toch ook een kijkje hebben genomen op de ABN Amro-rekening van de klant en de betaling aan de relatietherapeut hebben gezien. Die klant wil samen met zijn vrouw op twee inkomens een huis kopen. Maar misschien zit hij straks wel alleen in zijn nieuwe koophuis en kan hij de hypotheek niet meer ophoesten.



Aanvulling

In een eerdere versie van dit artikel stond dat banken betaalgegevens door zouden moeten 'verkopen'. De banken zouden hier echter geen vergoeding voor ontvangen van de derde partij. Het gaat dus om verplicht aanleveren van betaalgegevens.