Zijn Brusselse ambtenaren vergeten dat er zoiets is als privacy?

4 valkuilen voor nieuwe EU-richtlijn die banken dwingt klantgegevens te delen

Europa wil dat banken klantgegevens gaan delen met concurrenten. Dat die klant toestemming moet geven, is volgens privacydeskundigen een boterzachte waarborg. De vier valkuilen van de nieuwe richtlijn.

Foto Illustratie Peter van Hugten

Niemand hoeft bang te zijn dat zijn financiële hebben en houwen komend jaar op straat komt te liggen, betogen de voorstanders. De nieuwe Europese betaalrichtlijn, PSD2 gedoopt, zal ons betalingsverkeer niet veranderen in een financiële nudistencamping. Want, houden zij vol, de consument moet zélf uitdrukkelijke toestemming verlenen. Dan pas mag zijn bankendata gedeeld worden met fintechbedrijven of andere banken.

Privacydeskundigen vrezen dat die waarborg boterzacht kan blijken. Te algemeen zijn de regels. Te veel valkuilen bevatten ze waar de argeloze klant in kan tuinen. Dat heeft alles te maken met het eigenlijke doel van PSD2. De nieuwe richtlijn moet de Europese betaalmarkt de 21ste eeuw in slingeren. Door banken te verplichten hun klantendata te delen - zodra die klanten daar zelf groen licht voor heeft gegeven - ontstaat ruimte voor nieuwe, innovatieve bedrijven. Op die manier kan bijvoorbeeld een dienstverlener als Amazon straks op basis van iemands betaalgedrag specifieke aanbiedingen gaan doen.

Dat er ook nog iets was met privacy, lijken de Brusselse ambtenaren vergeten. 'Dit gaat heel ver', zegt Lokke Moerel, hoogleraar aan de Tilburgse universiteit en privacy-advocaat bij Morrison Foerster. 'Zoveel mensen maken zich zorgen over de gevolgen van big data. En dan komt Europa met een nieuwe richtlijn: zet die bankgegevens maar open. Ook voor aanbieders buiten Europa. Dat zouden wij als Europa eens tegen Google moeten zeggen! Er is echt niet goed nagedacht over de privacy.'

1 Wie aanvinkt, stemt toe?

De zorgen beginnen met de toestemming die klanten moeten verlenen voordat er iets gebeurt. Wat houdt dat precies in? Gaat het net als bij nieuwe apps op de smartphone, met een vinkje onder aan een eindeloze rits voorwaarden? Dan stelt het weinig voor.

Toezichthouder De Nederlandsche Bank, die in Nederland de vergunningen zal gaan verlenen aan PSD2-bedrijven, pleit voor één standaardbenadering, maar acht het nog te vroeg hier concretere uitspraken over te doen. De Europese Commissie stelde afgelopen week in een persbericht dat de veiligheid voorop staat. Voor betalingen is in de nieuwe richtlijn daarom meestal een combinatie vereist van, bijvoorbeeld, een mobiele telefoon en een vingerafdruk. Of een pas met een pincode.

Dat lijkt erg op hoe het nu al gaat in Nederland. Toch is hoogleraar computerbeveiliging Bart Jacobs, verbonden aan de Radboud Universiteit, niet gerustgesteld. Hij wijst erop dat bedrijven ook kunnen proberen toestemming te 'kopen' met een kortingsbon of voucher. Of door een prijs te zetten op niet-meedoen. 'Wie verzekert mij dat als ik besluit mijn gegevens niet te delen, ik bepaalde diensten zoals hypotheekadvies nog wel kan ontvangen?'

2 Geen toestemming, toch meedoen

Staat het stoplicht eenmaal op groen, dan mag een bedrijf net zo lang over de schouder mee blijven gluren tot de toestemming expliciet wordt ingetrokken. Dan moet de klant natuurlijk niet vergeten welke bedrijven hij of zij allemaal heeft uitgenodigd om mee te kijken op de bankrekening.

Voor veel mensen zal dat reden genoeg zijn om hun financiële zaken voor zich te houden. Toch kan ook deze groep last krijgen van PSD2. Hoe meer mensen in de omgeving hun financiële data wél delen, hoe meer informatie over de betalingen en ontvangsten van deze PSD2-weigeraars alsnog bij techbedrijven belanden. Uit al die losse puzzelstukjes kan een vrij compleet beeld worden geconstrueerd van iemands bankzaken.

Dat betekent niet dat dit ook mág. Nationale toezichthouders (in Nederland wordt de Autoriteit Persoonsgegevens hiervoor verantwoordelijk) moeten erop toezien dat PSD2-bedrijven de data alleen gebruiken voor die activiteit waarvoor de klant expliciet toestemming heeft gegeven. Helaas is dat makkelijker gezegd dan gedaan - zie de volgende valkuil.

Foto Illustratie Peter van Hugten

3 Toezichthouders buitelen over elkaar heen

Alleen al in Nederland moeten straks vier toezichthouders controleren of PSD2 fatsoenlijk wordt uitgevoerd. DNB verstrekt de vergunningen aan partijen die geïnteresseerd zijn in de data, de Autoriteit Persoonsgegevens waakt over de privacy, maar ook de Autoriteit Consument & Markt en de Autoriteit Financiële Markten zijn van de partij.

En dat is pas het begin. PSD2-bedrijven mogen straks ook in Nederland opereren met een vergunning uit een ander EU-land. Dat betekent dat toezichthouders van Malta tot Bulgarije een rol kunnen spelen. Het ligt voor de hand dat databedrijven op zoek gaan naar het mildste toezichtsregime. De Nederlandse betaaldata worden daarmee net zo veilig als de zwakste schakel in dit complexe Europese systeem.

Omdat de Autoriteit Persoonsgegevens nog advies gaat uitbrengen over het Nederlandse PSD2-wetsvoorstel, wil zij niet reageren op de vraag hoe dit toezicht in de praktijk precies moet gaan functioneren. Evenmin wil zij ingaan op een andere zorg: dat de beperkte financiële en organisatorische middelen van de toezichthouder misschien wel onvoldoende zijn om al die nieuwe techbedrijven in de gaten te houden.

4 Onze privacy, hun verdienmodel?

Zelfs als PSD2 goed functioneert, zal een van de grootste uitdagingen blijven om te voorkomen dat vertrouwelijke gegevens via via alsnog in verkeerde handen vallen. Te denken valt aan commerciële bedrijven die handelen in data. Ook buitenlandse inlichtingendiensten kijken met interesse naar PSD2, verwacht hoogleraar Jacobs.

Gegevens doorverkopen mag volgens de Autoriteit Persoonsgegevens alleen als de klant hier opnieuw expliciet toestemming voor geeft. Maar houden de betrokken bedrijven zich daaraan? De huidige praktijk doet het ergste vrezen. Zo onthulde De Groene Amsterdammer eind oktober dat incassobureaus lijsten hebben gemaakt en doorverkopen met miljoenen namen van iedereen die weleens vergeet een rekening op tijd te betalen. Dat mag niet, maar tot nu toe heeft de toezichthouder niet opgetreden.

Gegevens over bankrekeningen kunnen minstens zo lucratieve handelswaar worden. De persoonlijke informatie die Google hamstert, leverde de multinational in 2014 45 dollar per kwartaal per klant op. Voeg daar betaalgegevens aan toe, en het wordt nog meer waard. Dat hoeft niet onvermijdelijk mis te gaan. Maar het geeft wel een enorme financiële prikkel om de privacy níét te respecteren.