Beeld Peter van Hugten

Het gerucht dat ING betaalgegevens van klanten met bedrijven ging delen, leidde in 2014 tot ophef. Want ING zou op deze manier een van de laatste privacy-bastions neerhalen in het tijdperk van Google en Facebook: de persoonlijke bankrekening. Dat ING de gegevens alleen zou delen als de rekeninghouder daarvoor toestemming gaf, maakte niet uit: de kritiek was niet van de lucht. Drie jaar later gaat de bank de betaalgegevens alsnog delen met derden. Nu niet omdat ING dat wil, maar omdat het moet. En dat geldt ook voor alle andere banken in de EU.

De Europese Unie dwingt dit af via de richtlijn PSD2. Dat verplichte delen van bankgegevens moet bedrijven in staat stellen financiële diensten te ontwikkelen voor consumenten. Zolang de banken het monopolie hebben op hun gegevens, zijn alleen zij in staat apps en dergelijke te ontwikkelen op basis van die betaalgegevens, zoals een digitaal huishoudboekje.



Brussel wil allerlei start-ups de kans geven zelf slimme diensten voor consumenten te ontwerpen. Hoe meer partijen er innoveren, hoe sneller de financiële technologie (fintech) vooruitgaat en dat zal leiden tot meer betaalgemak voor consumenten en tot lagere prijzen, is de gedachte.

De PSD2-richtlijn wordt in Nederland volgend voorjaar van kracht, schreef demissionair minister Jeroen Dijsselbloem van Financiën vrijdag in een Kamerbrief. Het enige wat Facebook en Google dan nog nodig hebben om toegang te krijgen tot de betaalgegevens van Nederlanders is een registratie bij de toezichthouder en een akkoord van de rekeninghouder. Toestemming van de rekeninghouder is dus nog steeds vereist, net als in het eerder verguisde plan van ING.



Machtige techbedrijven als Facebook en Google weten al precies welke websites mensen bezoeken, wie hun vrienden zijn en wat ze in een webwinkel kopen. Voortaan kunnen ze er - bij toestemming - ook achter komen of iemand rood staat, welke abonnementen een rekeninghouder heeft en hoeveel hij of zij uitgeeft in de supermarkt (en in welke).

Bankvergunning

Brussel beschouwt PSD2 vooral als een feest voor de innovatie. Het verplichte delen van betaaldata zal de aanzet geven tot een vloedgolf aan nieuwe financiële apps. Softwareontwikkelaar Afas werkt aan een huishoudboekje voor rekeningen bij verschillende banken, betalingsverwerker Adyen vroeg een bankvergunning aan en de topman van betaalservice Klarna zei onlangs dat het Zweedse bedrijf het 'Ryanair van de financiële branche' wil worden.



Nu de traditionele banken de hete adem van de fintechbedrijven in de nek voelen, gaat ook daar een andere wind waaien. 'Ze zijn als een dolle aan het innoveren en online transformeren om bij te blijven', zegt Gijs Boudewijn, adjunct-directeur van Betaalvereniging Nederland. ING experimenteert net als Afas met een huishoudboekje, ABN Amro werkt aan gegevensuitwisseling met de Hypotheker en de Rabobank werkt aan een app die boeren inzicht moet geven in de geanonimiseerde financiële gegevens van collega's.

45 dollar (38 euro) verdient Google nu al elk kwartaal per gebruiker aan gegevens over het surfgedrag. Dat wekt de vrees dat ook bankgegevens handelswaar kunnen worden.

Uit reacties op een discussienota over PSD2 van de Europese bankenautoriteit (EBA) blijkt dat bedrijven van buiten de financiële wereld de veranderingen op de voet volgen. Meubelgigant Ikea, telecomaanbieder Vodafone en luchtvaartmaatschappij Lufthansa stuurden suggesties voor verbeteringen in reactie op een conceptversie. Ook deze bedrijven staan dus mogelijk te trappelen om de betalingsgegevens van Europese burgers eens grondig te bekijken.



Het kan ook zijn dat niet-financiële bedrijven vooral geïnteresseerd zijn omdat de richtlijn direct betalen via websites mogelijk maakt. Een klant hoeft bijvoorbeeld geen iDeal meer te gebruiken, maar kan zonder tussenstappen op de site van Ikea, Vodafone of Lufthansa afrekenen. Dat levert internetverkopers extra omzet op, omdat de webwinkelende koper bij snel en makkelijk betalen minder bedenktijd heeft om van de aankoop af te zien. In het begin ging de discussie vooral over dit deel van de nieuwe richtlijn. Critici waren bang dat ook criminelen zouden profiteren van het luikje naar de bankrekening. 'Uiteindelijk bleek dat PSD2 vrij zware beveiliging eist, waardoor cybercrime niet de grootste zorg is', zegt Boudewijn.

Volledig profiel

De kritiek verschoof naar aantasting van de privacy. De traditionele banken, die door PSD2 het monopolie op hun betaalgegevens verliezen, leggen daarop ook steeds de nadruk. Een woordvoerder van de Volksbank: 'Banken gaan al heel lang secuur om met bankgegevens. Er is ook streng toezicht op, en terecht. De bank weet heel veel van iemand. Negentig dagen betalingsgeschiedenis is voldoende om een volledig profiel van iemand op te stellen. Als die gegevens in goede handen zijn, is dat niet erg. Maar als iemands digitale identiteit met alle bijbehorende voorkeuren gaat rondzwerven kunnen die gegevens in verkeerde handen komen. We weten niet of andere bedrijven er straks ook zorgvuldig mee omgaan.'



Om te voorkomen dat elk bedrijf zomaar kan meegluren, moeten bedrijven die inzicht willen hebben in betaaltransacties van banken zich registreren bij een toezichthouder. Dat kan De Nederlandsche Bank zijn, maar ook een toezichthouder in Malta, Estland of een andere EU-lidstaat. Niet alle toezichthouders zijn even streng als de Nederlandse.

Bedrijven met een PSD2-registratie kunnen niet zomaar het transactieoverzicht van elke bankrekeninghouder opvragen. Rekeninghouders moeten daar altijd toestemming voor geven. Als Bol.com bijvoorbeeld betaalgegevens wil inzien om daarop in te kunnen spelen met kortingsacties, moet een rekeninghouder daar expliciet toestemming voor geven.



Een aantal banken werpt nog een extra verdedigingswal op. De Volksbank ontwikkelt een 'hoofdschakelaar' waarmee een rekeninghouder het delen van betaalgegevens met één muisklik kan stoppen. Ook Triodos Bank werkt aan een 'dashboard met schuifjes' dat klanten tot een bewuste keuze moet dwingen over welke data ze willen delen en voor hoelang, zegt directeur particulieren Hans de Wolff. ING onderzoekt nog 'de wenselijkheid en mogelijkheid' van een dergelijke hulpmiddel.

Korting

'De extra maatregelen van Volksbank en Triodos klinken misschien defensief, maar ik kan er wel begrip voor opbrengen', zegt Gijs Boudewijn van Betaalvereniging Nederland. 'Het is een vergaande veronderstelling dat consumenten doorhebben wat bedrijven allemaal mogen doen met data.' Bijvoorbeeld: als een rekeninghouder toestemming heeft gegeven voor het datadelen, kunnen bedrijven maximaal negentig dagen 'terugkijken' in de betaalgegevens, maar ze mogen oneindig doorgaan met het verzamelen van nieuwe betaalgegevens totdat de klant expliciet zijn toestemming weer intrekt. 'In ruil voor een korting van een tientje geeft iemand al snel toestemming. Maar denkt diegene er ook aan de toestemming weer in te trekken als hij eigenlijk geen data meer wil delen?', vraagt Boudewijn zich af.

Daarnaast bestaat de angst dat bedrijven de bankgegevens doorverkopen. Vooral voor grote techbedrijven is de handel in data zeer lucratief. Google verdient bijvoorbeeld per gebruiker elk kwartaal 45 dollar (ruim 38 euro) aan de gegevens over onder andere het surfgedrag. 'Bankgegevens zijn ontzettend privacygevoelig. Het is niet de bedoeling dat die als handelswaar zomaar bij elk bedrijf terecht kunnen komen', zegt ook PvdA-Kamerlid Henk Nijboer. 'Het doorverkopen moet verboden worden.' Met voormalig PvdA-Kamerlid Astrid Oosenbrug diende hij daarom eind vorig jaar een voorstel in om het verder delen of verkopen van de data te verbieden. De Autoriteit Persoonsgegevens laat weten dat doorverkopen alleen mag als de rekeninghouder ook daarvoor expliciet toestemming heeft gegeven.



PSD2 is in Nederland inmiddels verwerkt tot een conceptwet. Voor komend voorjaar moet die omgebouwd zijn tot volwaardige wet. Nijboer: 'Zoals het er nu naar uit ziet, moet ik daarvoor nog wel wat amendementen indienen om de privacy te beschermen.'