Nieuwe wetgeving morrelt aan de privacy van je bankrekening

– Economie – Deze maand wordt een nieuwe Europese richtlijn met betrekking tot betalingsverkeer ingevoerd.  Bij zijn eigen bank bleef het stil, dus ging Gijs van Maanen op zoek meer informatie. Om tot de conclusie te komen dat bedrijven straks in je portemonnee kunnen gluren en we ons als consumenten eens flink achter de oren moeten krabben.

Laatst las ik in de Volkskrant over PSD2, een nieuwe, nog door te voeren Europese richtlijn op het gebied van betalingsverkeer. Zelf heb ik maar een gemiddelde interesse in Europese bank- en betaalwetgeving. Toch trok de volgende zin mijn aandacht: ‘PSD2 dwingt banken om, met toestemming van de klant, diens rekeninggegevens te delen met de concurrentie. Op die manier wil Brussel innovatieve partijen een kans geven op de Europese betaalmarkt.’ Niemand in mijn directe omgeving was zich bewust van deze op het eerste gezicht verregaande wetswijziging. Wat kon ik in een beperkt tijdsbestek te weten komen over PSD2? En wat zegt dat over de wijze waarop wij als burgers over deze wetswijziging worden geïnformeerd?

PSD2 is vanaf 13 januari 2018 in heel de Europese Unie van kracht. Althans, dat is het plan. Nederland heeft twee jaar de tijd gehad om de richtlijn om te zetten in wet- en regelgeving, maar gaat de deadline van 13 januari waarschijnlijk niet halen; er zijn nog te veel zaken onduidelijk die het implementeren van de richtlijn in de weg zitten. Een van de onduidelijkheden is de wijze waarop rekeninghouders toestemming moeten gaan geven (of niet) aan bedrijven om hun gegevens in te zien. Ook is nog niet vastgelegd hoe bedrijven vervolgens jouw gegevens veilig moeten opslaan.

Veel onduidelijk

Mijn eigen bank (ING) is nog niet heel royaal met het verstrekken van informatie over PSD2. De ‘belangrijkste wijzigingen’ worden kort maar krachtig vermeld op een pagina waar men alleen komt door te zoeken op ‘PSD2’. De bank meldt dat het nog niet duidelijk is hoe het verlenen van toestemming in zijn werk zal gaan, maar: ‘Wanneer dit aan de orde is, zullen we u hierover natuurlijk informeren’. Daarentegen schijnt de Rabobank haar klanten schriftelijk op de hoogte te hebben gesteld over PSD2. Ook is de verschafte informatie over de wijziging op de Rabobank-website een stuk uitgebreider. De bank geeft onder andere als tip om bij twijfel over de intenties van het bedrijf dat om je informatie vraagt, toch nog eens de voorwaarden goed door te nemen om te kijken of er goed met je gegevens zal worden omgesprongen. Immers: ‘Het uitwisselen van data met een bedrijf [blijft nou eenmaal] spannend.’

Data goudmijn

Her en der valt er dus het een en ander te vinden over PSD2. Wat vooral duidelijk wordt, is dat er eigenlijk nog veel onzeker is, met name voor de consument. Voor de andere zijde (het bedrijfsleven) is het evident dat de invoering van PSD2 een eindeloze bron van innovatie zal worden (lees: goudmijn). Op basis van de verzamelde gegevens kunnen nieuwe toepassingen worden ontworpen – digitale huishuidboekjes worden vaak genoemd, ‘zodat je meer grip hebt op je financiën’. Ook kan de hypotheekverstrekker sneller gaan werken (met een mogelijke korting voor de klant). Of denk aan de mogelijkheid om, voorafgaand aan een automatische betaling, eerst een bedrijf je saldo te laten controleren om te voorkomen dat de betaling mislukt. De mogelijkheden zijn eindeloos.

Argusogen

De nadruk op innovatie in de vorm van nieuwe financiële producten en constructies moet voor banken geen prettig vooruitzicht zijn. Ze dreigen hierdoor hun monopolie op, bijvoorbeeld, het aanbieden van financieel advies te verliezen. Maar ook voor gewone burgers zijn er genoeg redenen om deze ontwikkeling met argusogen te volgen. Zo wil het nog niet zeggen dat wanneer je ‘nee’ zegt tegen het verzoek van een bedrijf om je gegevens in te mogen zien, je gegevens niet worden verzameld. Zodra iemand waarmee je financiële contacten hebt wel toegang verleent, wordt een deel van jouw gegevens via zijn of haar rekening alsnog doorgespeeld naar het betreffende bedrijf. En hoewel het natuurlijk heel prettig is als je je boekhouding kan uitbesteden aan bedrijf X, is het maar de vraag of je zit te wachten op de dosis persoonsgerichte reclame die X op basis van jouw bankoverzichten op je af kan sturen.

Sterker nog, voor dergelijke praktijken is in principe geen bankoverzicht van jou persoonlijk nodig: met data van mensen met kenmerken die overeenkomen met die van jou kan worden berekend wat de kans is dat jij een bepaalde voorkeur hebt. Op basis van jouw ‘lidmaatschap’ van een bepaalde groep kan je vervolgens al vrij eenvoudig worden bestookt met gepersonaliseerde advertenties. En dat gaat er nog vanuit dat bedrijven zich aan privacywetgeving houden en dat toezichthouders als de Autoriteit Persoonsgegevens hun werk goed uitvoeren – in de praktijk is het echter zo dat er een wijdverbreide handel in persoonsgegevens bestaat, waarbij privacyregelgeving bij de deelnemers daaraan vaak niet hoog op de prioriteitenlijst staat.

Weinig informatie

Bovenstaande heb ik op basis van een paar uur googelen bij elkaar gezocht. Veel belangrijke details van de wijziging zijn mij helaas nog onduidelijk. Dat heeft waarschijnlijk te maken met mijn niveau van kennis over Europese wet- en regelgeving. Toch is de wijze waarop wij als subjecten van PSD2 over de wetswijziging zijn geïnformeerd, op zijn zachts gezegd, onvoldoende. Juist een richtlijn als PSD2 verdient een uitgebreide publieke discussie waarin vooral ook een antwoord moet worden gegeven op de vraag wat de burger er nou precies aan heeft.

Ik acht de kans klein de invoering van PSD2 te stoppen—daarvoor is het domweg te laat. Dat neemt niet weg dat de PSD2 een aanleiding vormt tot reflectie op en discussie over de wijze waarop internationale processen van besluitvorming zijn gestructureerd en de plek en rol van individuele lidstaten en hun burgers daarin.

Gijs van Maanen

Studeerde geschiedenis en filosofie in Leiden en promoveert tegenwoordig aan de Universiteit van Tilburg.

Dit artikel is eerder gepubliceerd op De Fusie