‘U beslist’, luidt de campagneslogan waarmee consumenten vanaf deze week op radio en tv worden gerustgesteld over PSD2. Toch is de scepsis over de nieuwe spelregels voor het betalingsverkeer niet uit de lucht gegrepen.
Wilt u dit artikel liever beluisteren? Hieronder staat de door Blendle voorgelezen versie.
1) Hoe weet ik of een bedrijf te vertrouwen is?
Vier op de vijf Nederlanders weet niet goed wat de Europese richtlijn PSD2 inhoudt. Dat terwijl de kans groot is dat zij binnenkort een variant op die ene vraag krijgen voorgeschoteld: mogen wij toegang tot uw vertrouwelijke financiële gegevens? Komt die toestemming er, dan zijn banken voortaan verplicht uw data te delen met derde partijen. Denk aan een gespecialiseerd dienstverlener die betalingen uitvoert, een andere bank die een huishoudboekje-app aanbiedt of een hypotheekadvies, toegesneden op uw actuele inkomsten en uitgaven.
Handig, maar is het ook veilig? Met tv-reclames, radiospotjes en billboards probeert De Nederlandsche Bank (DNB) namens het Maatschappelijk Overleg Betalingsverkeer vanaf deze week de zorgen weg te nemen. PSD2 moet zorgen voor meer concurrentie in bankenland. Dat kunnen kleine start-ups zijn, grote techbedrijven als Google en Apple maar ook gewoon andere banken. Zo moet het betalingsverkeer in de Europese Unie goedkoper en gebruiksvriendelijker worden.
Niet elk bedrijfje kan zich hier zomaar op storten. Eerst is een vergunning nodig van DNB. Zelf in dat register nakijken of een onderneming te vertrouwen valt, heeft desondanks weinig zin. PSD2-bedrijven kunnen namelijk ook in Nederland opereren onder een vergunning uit bijvoorbeeld Cyprus of Bulgarije. Bij twijfel over een aanbieder lijkt het daarom het verstandigste de deur op slot te houden.
2) Wat als ik net zo achteloos toestemming geef voor PSD2 als voor cookies?
Een klik of vinkje telt niet als toestemming. Aanbieders zijn verplicht het serieuzer aan te pakken. Denk aan een combinatie van wachtwoord en bankpas, of vingerafdruk en smartphone. De vergelijking met internetcookies of telefoonapps waarvoor bezoekers zonder na te denken groen licht geven, gaat daarmee niet op.
Die zwaardere beveiliging brengt wel een ander probleem met zich mee. DNB geeft op de website van haar campagne een checklist: deel nooit uw pincode, wachtwoord of identiteitsbewijs. Maar, staat er: ‘Een derde partij mag u wel vragen de beveiligingscodes voor internetbankieren, die uw bank u gaf, te gebruiken.’ Hoe klanten precies toestemming moeten geven, zal in de praktijk per PSD2-aanbieder én bank verschillen. Fraudeurs zullen inspelen op die verwarring. Dit jaar doken al valse phishing-mails op van ‘ABN Amro’ die refereren aan PSD2.
3) Loop ik voordeeltjes mis als ik mijn bankgegevens niet wil delen?
Bedrijven kunnen inderdaad toestemming gaan ‘kopen’ met extra kortingen of vouchers. Het omgekeerde is ook denkbaar, merkte hoogleraar computerbeveiliging Bart Jacobs, verbonden aan de Radboud Universiteit op in deze krant: ‘Wie verzekert mij dat als ik besluit mijn gegevens niet te delen, ik bepaalde diensten zoals hypotheekadvies nog wel kan ontvangen?’
4) Ik ben PSD2-weigeraar. Komen mijn betalingsgegevens via vrienden en familie alsnog op straat te liggen?
Stel, u maakt 20 euro over naar een vriend voor de drankrekening van gisteravond. Daarmee prijkt uw naam op zijn rekeningafschrift. Als diegene minder geeft om zijn privacy, kunnen uw gegevens alsnog bij een PSD2-onderneming belanden. Hoe vaker dit gebeurt, hoe groter het risico dat een handig databedrijf dat het niet zo nauw neemt met de regels een financieel profiel van u opbouwt. Privacy-voorvechters vinden overigens een andere ontwikkeling minstens zo verontrustend. Uw financiële data kunnen ook extra gevoelige ‘bijzondere persoonsgegevens’ bevatten. Denk aan de contributie voor de vakbond, of betalingen aan een psycholoog.
5) Kan ik me dan op geen enkele manier aan PSD2 onttrekken?
Binnen het Maatschappelijk Overleg Betalingsverkeer, waarin naast de banken bijvoorbeeld ook de Consumentenbond zit, is gesproken over een soort knop waarmee Nederlanders bij voorbaat kunnen aangeven dat ze niet mee willen doen. Dat blijkt juridisch gevoelig te liggen. Europa ziet zoiets al gauw als verstoring van de concurrentie. Uitzondering is de Volksbank, het moederconcern van onder meer SNS en ASN. Klanten krijgen een zogenoemde ‘hoofdschakelaar’ voorgeschoteld. ‘Vergelijk het met een aardlekschakelaar’, laat een woordvoerder weten. ‘Om gegevens te kunnen delen met een ander bedrijf, moet die knop eerst worden omgezet.’
Lees meer over PSD2:
Waarom ook consumenten die daar niet mee instemmen, het risico lopen dat bedrijven toegang krijgen tot hun financiële gegevens.
Opinie: uiteindelijk draait PSD2 om de vraag wie u meer vertrouwt: de banken, of grote techbedrijven als Facebook?
