background branding

Wat betekent de nieuwe betaalrichtlijn PSD2 voor jou?

Met een jaar vertraging wordt begin 2019 PSD2 ingevoerd. PSD2 staat voor Payment Services Directive 2. Door PSD2 kunnen consumenten nieuwe online betaal- en rekeningdiensten gebruiken. Je moet wel uitdrukkelijk toestemming geven aan nieuwe aanbieders, voordat ze inzage hebben in jouw banksaldo, betaalgegevens en rekeningafschriften.

Radar berichtte vorig jaar al over PSD2

Deze nieuwe Europese betaalwetgeving werd op 13 januari 2018 in bijna heel Europa van kracht. In Nederland liep de invoering vertraging op. Inmiddels hebben de Tweede en Eerste Kamer ingestemd met de nieuwe wet. Nu verwacht het ministerie van Financiën dat eind januari/begin februari PSD2 geïmplementeerd kan worden in Nederland. Vanaf maart zal een grote landelijke publiekscampagne mensen voorlichten over PSD2.

Monopoliepositie kwijt

In het kort komt het erop neer dat banken door PSD2 hun monopoliepositie kwijtraken op het betalingsverkeer. Ze waren tot nu de enige partij die toegang en inzage hadden in jouw bankgegevens. Maar nu kunnen andere financiële dienstverleners handige diensten aanbieden, mits zij een bankvergunning krijgen van De Nederlandsche Bank (DNB). Er zijn twee soorten vergunningen:

  • Betaalinitiatieservices: zij kunnen een saldocheck uitvoeren. Heb je voldoende geld op je rekening staan om een product te bestellen? En ze verrichten onlinebetalingen namens de rekeninghouder. Een soort iDEAL, maar dan via een fintechbedrijf.
  • Rekeninginformatieservices: ze kunnen bankafschriften downloaden en die importeren in een kasboekje.

Je kunt door PSD2 makkelijk onlinebetalingen verrichten of je financiële situatie beter in de gaten houden met een digitaal huishoudboekje. Handig als je bij verschillende banken rekeningen hebt lopen. Je bent niet verplicht om toestemming te geven aan die fintechbedrijven. Deze aanbieders kunnen alleen over jouw betaalgegevens beschikken als de consument hier expliciet toestemming voor geeft.

Toestemming geven

Gijs Boudewijn van Betaalvereniging Nederland zegt dat PSD2-dienstverleners kraakhelder tegen consumenten moeten zijn waar ze toestemming voor geven. ‘De consument moet van tevoren goed weten waar die aan toe is. In Nederland moet de consument per keer dat hij goedkeuring geeft voor het verstrekken van rekeninginformatie, bij zijn eigen bank of bij de derde partij een éénmalige persoonlijke toegangscode invoeren. Voor het verstrekken van rekeninginformatie is het zetten van een simpel vinkje niet genoeg.’ Op de site van Betaalvereniging Nederland en DNB vind je meer informatie over het geven van toestemming.

Maximaal 90 dagen inzage in alle bankgegevens

Ook als je geen toestemming geeft, kunnen je gegevens toch bij zo’n fintechbedrijf terecht komen. Bijvoorbeeld als jij geld overmaakt aan een vriend. Deze maakt gebruik van een online huishoudboekje en heeft hiervoor toestemming gegeven aan een bedrijf met bankvergunning. Hierdoor heeft het bedrijf maximaal 90 dagen inzage in alle bankgegevens van je vriend. Ze zien exact hetzelfde wat een consument ziet in een bankapp of in online bankieren: dus alle bedragen, namen en rekeningnummers van bedrijven en personen waar je vriend aankopen bij doet of geld van ontvangt. Ook kan het bedrijf net zo lang in je betaalgeschiedenis kijken als de rekeninghouder zelf kan terug zien via online bankieren. Hierdoor kan het bedrijf ook jouw overboeking zien: en hebben ze jouw naam en IBAN-nummer. Het bedrijf kan de opgehaalde gegevens net zo lang bewaren als nodig is voor het gebruik van het huishoudboekje. De bewaartermijn moet vooraf bekend zijn bij de consument.

Wringen

Nico van Eijk, hoogleraar informatierecht zegt dat dit punt wringt in de wet. ‘Ik geef wel toestemming, maar daarmee geef ik ook impliciet toestemming voor al mijn vrienden en al degenen met wie ik relaties onderhoud. Hen heb ik niets gevraagd, hun toestemming heb ik niet gevraagd. Dat gaat op een gegeven moment wringen, zeker als het gaat om zeer gevoelige relaties.’

Grote privacyrisico's

Martijn van der Veen van Privacy First voorziet ook grote privacyrisico’s. ’Ongelooflijk dat PSD2 er op deze manier is gekomen. Er kleven grote privacy risico’s aan. Je geeft één keer toestemming en dat is een soort carte blanche. Het klonk in eerste instantie allemaal erg innovatief al die nieuwe diensten, maar onduidelijk is wat de bedrijven gaan doen met al die data?’

Afschermen rekeninginformatie

Privacy First wil dat ‘gevoelige betalingen’ en bijzondere persoonsgegevens worden afgeschermd. ‘We willen een database aanleggen van 2400 organisaties en IBAN-nummers van vakbonden, politieke partijen, kerken, zorgverleners, apothekers en organisaties als het COC, zodat die financiële aanbieders geen wetenschap hebben over je seksuele voorkeur, geloofsovertuiging of politieke voorkeur. De nieuwe aanbieders zouden op deze database moeten inpluggen en hun binnengehaalde gegevens moeten opschonen, zodat de betalingen en rekeninginformatie van deze 2400 organisaties worden afgeschermd.’ Ook pleit Privacy First voor een soort Bel-me-niet Register voor PSD2. Waar consumenten zich kunnen aanmelden als ze niet willen dat hun betaalgegevens gedeeld worden met anderen.

Lees hier het persbericht van Privacy First

Banken mogen geen onderscheid maken

Volgens Gijs Boudewijn van Betaalvereniging Nederland mogen banken niet op eigen houtje onderscheid maken. Zo’n opt-outregister klinkt sympathiek. ‘Er is vanuit ouderenbonden en Consumentenbond voor gepleit, maar PSD2 lijkt dat uit te sluiten. De toekomst zal leren in welke mate dat toch door rechters wordt toegelaten’, zegt Boudewijn.

Wissen van informatie

Het wissen van je gegevens is op papier geregeld, maar gaat dat daadwerkelijk gebeuren? ‘Het verwijderen van gegevens is slecht geregeld', zegt Martijn van der Veen. ‘PSD2 zet het hele idee van privacy op de helling. Niet de achterdeur staat open, maar de hele achterpui is eruit. Er bestaat actieve verwijdering. Bedrijven hebben vier weken om deze opdracht uit te voeren, maar ze hebben ook een bewaarplicht van zeven jaar voor de Belastingdienst. En je kunt moeilijk controleren of ze de informatie alleen archiveren of er toch nog weleens stiekem inkijken.’

Geen structurele controle

Gijs Boudewijn zegt dat niet structureel wordt gecontroleerd of de informatie wordt gewist. Er is wel toezicht op door de Autoriteit Persoonsgegevens (AP). Als er signalen zijn dat een bedrijf zich niet aan de Algemene Verordening Gegevensbescherming (AVG) houdt, kan de AP daar onderzoek naar doen en ingrijpen.’

Vier toezichthouders

In Nederland moeten vier toezichthouders controleren of alle nieuwe aanbieders zich aan de PSD2-regels houden:

  1. De Nederlandsche Bank (DNB): alle nieuwe aanbieders moeten hier een vergunning aanvragen en voldoen aan strenge eisen en voorwaarden. De toezichthouder kan de vergunning ook weer intrekken.
  2. De Autoriteit Persoonsgegevens (AP) houdt toezicht op de opslag van data en of de rekening- en persoonsgegevens goed beveiligd zijn. En dat er geen datalekken zijn.
  3. De Autoriteit Consument & Markt (ACM) kijkt of nieuwe toetreders niet worden tegengewerkt. Is er voldoende concurrentie en is er geen sprake van kartelvorming?
  4. De Autoriteit Financiële Markten (AFM) is gedragstoezichthouder en kijkt of consumenten vóóraf goed worden geïnformeerd. Waar verleent de consument toestemming voor?

Versnippering toezicht

Deze versnippering van toezicht baart critici zorgen. Er komen mogelijk veel nieuwe aanbieders bij en de werkdruk is nu al hoog bij de toezichthouders. ‘Als je te maken hebt met een aanbieder uit het buitenland, hoeveel van het toezicht zit dan in Bulgarije of Roemenië, waar die aanbieder vandaan komt en hoeveel van het toezicht zit er dan in Nederland? Er gaat gegarandeerd in 2019 iets mis met dit soort nieuwe dienstenaanbieders’, zegt Van Eijk.

Alle macht bij grote techbedrijven

Melanie Peters, directeur van het Rathenau Instituut maakt zich zorgen dat straks alle macht in handen komt van een paar grote techbedrijven zoals het Amerikaanse Google, Facebook en Amazon of het Chinese Alibaba en Tencent. ‘Jij weet als consument niet welke data deze bedrijven over jou hebben. Dus op het moment dat je iets wilt kopen of je wilt een visum aanvragen, weet je niet of bepaalde gegevens hieraan gekoppeld worden. En dat die gegevens gebruikt worden die niet in jouw voordeel zijn. En je kunt in Europa misschien je recht halen, maar dat is niet zo in andere werelddelen. Als er daar iets fout gaat, is het veel moeilijker om je recht te halen.’

Onlineprofiel koppelen aan je bankgegevens

Bovendien kunnen dit soort commerciële bedrijven je onlineprofiel koppelen aan je bankgegevens. Deze betaalgegevens zijn goud waard voor marketeers. Ze weten wat je graag koopt en kunnen op basis van je koopgedrag en uitgavenpatroon een profiel maken om je te verleiden tot het doen van aankopen, waarbij ze ook een gedifferentieerd prijsbeleid kunnen hanteren. Ze weten immers wat je te besteden hebt. ‘Onze vrije omgeving staat onder druk. Mensen worden verleid makkelijk geld uit te geven of andere prijzen te hanteren. En wat als er een verkeerd kredietprofiel van je is gemaakt? Hoe kom je daar vanaf?’, zegt Martijn van der Veen van Privacy First.

Discriminatie en uitsluiting

‘Misschien komt uit het profiel dat de mensen om je heen niet heel koopkrachtig zijn en dat je niet voor een bepaalde product in aanmerking komt. Of er komt uit dat je voldoende te besteden hebt en krijg je een hogere prijs dan iemand anders. Uiteindelijk kunnen die profielen ertoe leiden dat jij uitgesloten wordt, dat de ene persoon wel een lening kan krijgen en de ander niet op het kopen van bepaalde producten. Dus uiteindelijk leidt dit tot discriminatie of misschien wel uitsluiting van bepaalde consumenten’, zegt Melanie Peters.

Dure producten

PSD2 wordt mooi voorgesteld. Dat consumenten door concurrentie en innovatie meer keus hebben en lagere prijzen betalen voor hun bankdiensten. Maar Van Eijk ziet de toekomst minder rooskleurig. ‘Veel voorbeelden die worden gegeven, gaan over: "wij kunnen ervoor zorgen dat u uw geld beter beheert of dat u de beste aanbieding krijgt". Maar de spiegel daarvan is: "wij kunnen er voor zorgen dat uw geld zo wordt beheerd dat het geld maximaal naar ons toe gaat. Wij kunnen ervoor zorgen dat u te dure producten koopt".’