Skip to main content

PSD2, wat kan de consument er mee?

Op 23 oktober heeft Jeroen Dijsselbloem het PSD2 wetsvoorstel ingediend. RADAR (Antoinette Hertzenberg) vond het interessant genoeg om hier aandacht aan te schenken. Het raakt namelijk ook de consument, de gewone man of vrouw, en die weten nog van niets. Het wordt dus tijd om PSD2 eens voor het voetlicht te brengen.

Uit interviews blijkt dat het publiek er nog niets van snapt en als je doorvraagt, dan wil men eigenlijk ook niet dat je aan hun privacy gevoelige data mag komen. Wat voor baat heb je er bij? Of komen op deze wijze de bedrijven alleen maar aan jouw persoonsgegevens en/of kunnen ze leuke producten met korting aanbieden?  De ACM stelt dat als je geen gebruik maakt van PSD2 producten, je er niet op achteruit mag gaan! Dit zal nog lastig worden, want voordeel wordt altijd geboden.

Het was een interessant gesprek bij RADAR, Gijs Boudewijn (Betaalvereniging) en Bart Jacobs (Radboud Universiteit) kwamen aan tafel  om uitleg te geven over PSD2.

Gijs legde uit dat  het is bedacht door “Brussel” om meer vernieuwing en concurrentie in de markt te brengen en dat alles op een veilige manier. Dit wil men bereiken door bank- en betaalrekeninggegevens verplicht open te stellen aan FinTech-achtige partijen, die dan wel een vergunning moeten hebben en op deze wijze meer en nieuwe innovatieve diensten in concurrentie met de banken kunnen aanbieden. Natuurlijk kan dit alles alleen als de klant dat wil, want PSD2 is niet verplicht. Wat hier vergeten wordt te melden is dat de banken onderling ook de mogelijkheid krijgen om nieuwe innovatieve diensten, net als FinTech bedrijven, op basis van PSD2 aan te bieden. De concurrentie zal dus niet alleen met FinTech, maar ook tussen banken onderling “uitgevochten” moeten worden en die zullen ook aan dezelfde spelregels moeten voldoen!

In het kader van de privacy zal nog bepaald moeten worden hoe ver bedrijven op basis van PSD2 mogen gaan.  In de algemene voorwaarden van banken en FinTech zal opgenomen moeten worden wat zij met onze gegevens willen doen, zoals het opslaan, analyseren en doorspelen aan derden. Mogen ze naast het analyseren van onze gegevens om ons een goed advies te kunnen geven, ook onze gegevens aan derden doorspelen, die ons dan weer een gerichte offerte of aanbieding van hun product kunnen sturen? Niet iedereen zal dit willen! Het wordt dus zeer belangrijk om hier aandacht aan te besteden. Toch lezen we de algemene voorwaarden over het algemeen slecht of helemaal niet. Dat wordt lastig. Hopelijk zal de nieuwe privacy wetgeving (mei 2018) hierbij helpen. Deze wetgeving komt “boven” de PSD2 te hangen, dus eerst aan de wetgeving voldoen en pas daarna mag een bedrijf producten op basis van PSD2 aanbieden.

Welke opties kunnen we als consument de bedrijven geven? Ze mogen onze gegevens:

– alleen lezen of

– lezen en bewaren voor analyses of

– lezen, bewaren, analyses en eigen producten aanbieden

– of lezen, bewaren, analyses en doorgeven aan derden, die dan weer hun producten kunnen aanbieden.

Dit zal duidelijk in de spelregels vastgelegd moeten worden, deels in wetgeving en deels in de algemene voorwaarden van elk bedrijf. De consument moet eenvoudig kunnen “aankruisen” wat mag en niet mag.

Intrekken van je PSD2 toestemming.

Heb je eenmaal toestemming gegeven aan een bank of bedrijf om jouw gegevens bij een andere bank te lezen en je wilt dit niet langer toestaan, hoe weet je dan zeker dat alle gegevens niet meer gebruikt en ook verwijderd worden uit de datastromen van het betreffende bedrijf? Intrekken van je toestemming op zich is simpel, maar hoe controleer je dat de data ook wordt stilgelegd en verwijderd? De ACM denkt er aan om de controle hierop toe te voegen aan de accountancy controle, deze partij gaat toezien dat jouw data uit de datastromen wordt verwijderd en dat de data ook daadwerkelijk gewist wordt;  dit zal ook in de nieuwe privacy wetgeving meegenomen moeten worden.

Hacken.

Zit er een verhoogd gevaar in PSD2 diensten, die een FinTech bedrijf ons gaat aanbieden?

Wat als er gehacked wordt en je rekening wordt leeggehaald? De procedure is dat de bank eerst het geld terugplaatst op de rekening en vervolgens verhaal gaat halen bij de derde partij die de fout heeft gemaakt.  Dit zal om nauwe samenwerking vragen tussen de banken en FinTech bedrijven.

Vergunning geldig in Europa.

Alle bestaande en nieuwe marktpartijen moeten voor PSD2 een vergunning aanvragen, in Nederland bij de DNB, maar dit mag ook in een ander land binnen de EU. Heb je een vergunning in bijvoorbeeld Griekenland, dan is deze ook geldig in alle andere landen van Europa. Eén vergunning in één land van Europa is dus voldoende en dan kan je met PSD2 aan de slag en klanten een dienst in bijvoorbeeld Nederland aanbieden.

Zijn  bedrijven als Google en Apple een gevaar?

Deze bedrijven beschikken over grote hoeveelheden data, en zij kunnen met een PSD2-vergunning alle gegevens, die ze van jou hebben, koppelen aan jouw financiële gegevens. Op deze wijze kunnen ze een nog nauwkeuriger profiel van jou samenstellen, hetgeen weer de basis vormt om aan jou speciale aanbiedingen te kunnen doen. Ook zij zullen zich aan de nieuwe privacy wetgeving moeten onderwerpen.

Pincode.

Een heikel punt in dit alles vormt onze pincode. We hebben geleerd dat we deze nooit en te nimmer mogen afgeven aan een ander. Welnu voor de aanbieders op basis van PSD2, die jouw gegevens mogen lezen bij banken, want je gaf er toestemming voor, is het noodzakelijk dat ze over jouw pincode gaan beschikken. Zij kunnen anders niet in jouw naam de bank benaderen om jouw rekeninggegevens te kunnen lezen. Dit wordt lastig om te begrijpen. Nu niet en straks wel? Misschien is het beter om deze party een machtiging te geven?

Silent Party.

Als PSD2 niet verplicht is en je wilt er dus niet aan deelnemen, hoe voorkom je dan dat jouw gegevens niet via datastromen toch worden doorgespeeld aan derden, omdat diegene aan wie je iets betaalt wel deelneemt aan PSD2? Je bent dan een zogenaamde stille oftewel Silent Party in dit geheel. Kun je dit voorkomen? Nee, nu niet! Dit kan alleen via wetgeving geregeld worden, dus zal de nieuwe privacy wetgeving hier aandacht aan moeten besteden.