In onze vaste rubriek ‘is het veilig en privacyvriendelijk’ kijken we dit keer naar PSD2, de nieuwe Europese richtlijn voor het betalingsverkeer van consumenten en bedrijven. Is het verstandig om een derde partij toegang te geven tot al je rekeninggegevens?
Wat is PSD2?
PSD2 is de afkorting van Payment Service Directive 2. Het is een nieuwe Europese richtlijn voor het betalingsverkeer van consumenten en bedrijven. Ten opzichte PSD1 moet het volgens banken zorgen voor meer concurrentie en innovatie.
Wat is het verschil tussen PSD1 en PSD2?
- Banken moeten derde partijen toegang geven tot de betaalrekening van hun klant. De klant moet daarvoor wel eerst zelf toestemming geven.
- Winkels, webshops en andere bedrijven mogen geen toeslagen meer berekenen voor betalingen met de betaalpas en creditcardbetalingen (van onder andere MasterCard en Visa).
- PSD2 moet de veiligheid van betalingen verbeteren.
Wie zijn deze derde partijen?
Een derde partij kan een andere bank zijn, maar ook bijvoorbeeld een fintech-, telecom- of grootwinkelbedrijf. Deze partijen dienen eerst een vergunning te hebben van DNB of van een andere toezichthouder uit de Europese Unie.
Op de site van DNB kun je een lijst vinden met aanbieders die een vergunning hebben gekregen.
Hoe geef ik toestemming aan een derde partij?
- Je geeft zelf toestemming via je eigen bank;
- Deze toestemming geldt alleen voor die betreffende aanbieder (derde partij),
- De derde partij moet een vergunning hebben van de DNB of een andere toezichthouder uit de Europese Unie,
- De toestemming aan derden heeft een geldigheid van maximaal 90 dagen. Daarna moet opnieuw om toestemming worden gevraagd.
In de praktijk werkt het zo: stel je koopt iets op een webshop. De meeste mensen zijn al bekend en gewend dat ze via IDEAL kunnen betalen. Maar in plaats van betalen via IDEAL ga je nu betalen via een nieuwe aanbieder, laten we deze PAYPREY noemen. Om gebruik te kunnen maken van de ‘handige’ diensten van PAYPREY vraagt deze derde partij toestemming tot inzage van (al) je bankgegevens. Hiervoor moet je eerst de algemene voorwaarden doorlezen, vervolgens een vinkje aanklikken en pas dan ga je naar je ‘vertrouwde’ betaalomgeving. Maar hier zit het probleem. Hoeveel mensen lezen de algemene voorwaarden door? Weten we eigenlijk echt wel aan wie we toestemming geven? En waarvoor precies? En wil je echt je persoonlijke gegevens ruilen voor een beetje gemak ?
Welke gegevens kan een derde partij dan inzien?
Zij kan je saldo checken, de bank opdracht geven namens jou een betaling (overschrijving) te starten of informatie van je betaalrekening verzamelen en jou daarvan een overzicht aanbieden. Tussen deze gegevens kunnen zeer persoonlijke gegevens zitten, zoals transacties met zorgverleners en apotheken of een contributiebetaling aan een vakbond, politieke partij of organisatie je seksuele voorkeur onthult. Dit zijn bijzonder gevoelige gegevens. Het probleem is dat je een derde partij toegang geeft tot al je betalingsgegevens en niet alleen de gegevens die ze nodig heeft om jou een dienst te verlenen.
De derde partij heeft zoals gezegd maximaal 90 dagen toegang, daarna moet opnieuw om toestemming worden gevraagd. Maar gedurende die periode kan de rekeninginformatiedienstverlener steeds je rekening(en) benaderen.
Kan een derde partij ook historische gegevens bekijken?
Ja. Op de website van DNB is te lezen tot 90 dagen terug. Maar uit contact met verschillende banken blijkt dat dit echter 24 maanden is. Waarom DNB dit niet meldt is ons onduidelijk.
Kan ik op voorhand alle partijen weigeren?
Als je niets doet, krijgen andere partijen geen toegang tot je betaalrekening. De mogelijkheid om op voorhand alle partijen te weigeren, bestaat dus niet.
En als ik een transactie doe met iemand die wel toestemming heeft gegeven?
Als je een betaling doet aan iemand die zijn betaalrekening met een derde partij deelt, dan worden ook de gegevens van jouw betaling aan die persoon gedeeld. Dit betekent niet dat de derde partij dan ook toestemming heeft om de gegevens van jouw rekening in te zien. Het zou dan alleen de gegevens betreffen van die specifieke betaling op de rekening van de persoon die wel toestemming heeft verleend. Het is niet mogelijk om je eigen betaalrekening hiervoor af te schermen.
Dit lijkt een beetje op meeroken. Ook al rook je zelf niet, als er mensen in jouw buurt staan te roken, rook je vanzelf mee. Iedereen weet dat meeroken slecht is voor je gezondheid. Zo is “meePSD2’en” (zelf verzonnen) slecht voor je privacy.
Heb je een voorbeeld uit het echte leven?
Op de website van Autoriteit Persoonsgegevens is te lezen:
Consument beslist
Zonder uitdrukkelijke toestemming mag de betaaldienstverlener geen toegang hebben tot de betaalgegevens van die consument. De consument beslist dus zelf of een betaaldienstverlener inzage mag hebben in zijn of haar rekeningen en betaalgedrag.
Stel je voor dat je een hypotheek gaat aanvragen. Je bent op dat moment al helemaal verliefd op een huisje en hoopt dat je de financiën zo snel mogelijk kunt regelen. Dan vraagt de hypotheekverstrekker toegang tot je rekeninggegevens om de hypotheekaanvraag te bespoedigen, of misschien “in ruil” voor een beetje korting. Veel mensen zullen op dat moment overstag gaan. Misschien omdat ze wat druk voelen, de korting interessant vinden, of gewoon omdat ze niet bewust zijn wat de gevolgen zijn.
PSD2 sluit niet uit dat hypotheekverstrekkers mogen weigeren diensten aan jou te verlenen wanneer je geen toestemming geeft. Dat valt onder de commerciële vrijheid van betaalinitiatie- en rekeninginformatiedienstverleners. In zo’n geval is het ’toestemming geven of wegwezen’. Als PSD2 een sociale norm wordt is dit zeer schadelijk voor ieders privacy en keuzevrijheid.
De Autoriteit Persoonsgegevens beschermt ons toch?
De Autoriteit Persoonsgegevens heeft het heel erg druk.
Naar eigen zeggen heeft de AP te weinig capaciteit om alles te kunnen controleren en op te lossen. Ze is onlangs een onderzoek gestart naar Nederlandse bedrijven met een PSD2-vergunning die betaalrekeninginformatie verwerken. De AP wil te weten komen of die bedrijven zich bewust zijn van de privacyrisico’s die de verwerking van rekeninggegevens met zich meebrengt en of ze voldoen aan de privacyregelgeving.
Zolang Autoriteit Persoonsgegevens hier nog niet zeker van is, adviseert About Privacy om heel goed na te denken over met wie je al je bankgegevens deelt!
Naast alle privacyrisico’s is het natuurlijk ook maar de vraag of deze partijen je data goed (kunnen) beschermen. Hoe meer partijen jouw gegevens hebben, hoe meer kans er bestaat dat jouw gegevens een keer ‘lekken’. En bankgegevens zijn hoe dan ook zeer gevoelig.
Conclusie
Is PSD2 veilig en privacyvriendelijk? Wij maken ons daar ernstige zorgen over.