opinie

Privacy is geen ‘obstakel’ en hoort in klantreis

DNB startte op 9 augustus 2019 met de publieke consultatie van de Q&A ‘Klantreis zonder obstakels inzake betaalinitiatie- en rekeninginformatiediensten via derde partijen’. Een mondvol. Het gaat om de vraag wat een klant moet doen en meemaakt voor een PSD2 dienst beschikbaar komt. De nadruk op het werken zonder obstakels zet privacybescherming onder druk. Een klantreis waarbij de klant stil mag staan bij privacy is wenselijk.

In de PSD2 is opgenomen dat nadat een consument toestemming heeft gegeven, alle data gedeeld moet worden. Deze RTS geeft een technische uitwerking ervan. Onder de PSD2 mag een bank een derde aanbieder niet hinderen. Artikel 32 van de technische regels schrijft voor derde partijen ‘op onbelemmerde en efficiënte wijze betaaldiensten’ aan moeten kunnen bieden. Het gaat om banken die een interface aanbieden. Banken mogen in de interface geen obstakels opwerpen voor derde partijen. Obstakels zijn bijvoorbeeld:

  1. In één klantreis twee keer strong customer authentication (“SCA”) uitvoeren
  2. Management van de scope van consent of consent management-gerelateerde stappen
  3. Additionele bevestigingsschermen (bijv. een overzichtspagina met ‘verder’ knop)
  4. Redirection-schermen die een actie verlangen van de betaaldienstgebruiker
  5. Ontmoedigend taalgebruik

DNB heeft beschreven wat een efficiënte klantreis is. In onderstaande figuur is het proces opgenomen voor rekeninginformatiediensten. Het proces is goed te vergelijken met het proces van een online transactie. Je koopt iets en betaalt via iDeal. Het zou inefficiënt zijn om, na je betaling, terug te moeten naar de winkel om je betaling nog een keer te bevestigen.

Klantreis: informeren en toestemming hoort erbij

Een consument moet uitdrukkelijke toestemming geven aan een rekeninginformatiedienstverlener voordat een bank gegevens mag delen. Voordat hij toestemming geeft zal bij geïnformeerd moeten zijn en weten waar hij toestemming voor geeft.

Uit het proces van DNB wordt niet duidelijk waar consumenten in dit proces geïnformeerd worden. Informeren van de consument zal in bovenstaand schema waarschijnlijk vóór de eerste processtap plaatsvinden. Er zijn betere plekken te bedenken. De voorkeur gaat uit naar duidelijke informatie vlak voordat toestemming wordt gegeven. Te denken valt aan:

  • vlak voordat een consument naar de omgeving van een rekeninginformatiedienstverlener gaat;
  • vlak voordat een consument zijn toestemming bevestigt;

Deze twee momenten zijn opgenomen in de aangepaste figuur hieronder:

Punt in klantreis met aandacht voor privacy (informatie, toestemming)

Opvallend

Doordat de klantreis gericht is op efficiëntie van het technische proces, wordt geen ruimte gegeven aan privacy binnen de klantreis. Het informeren van een consument ontbreekt in het consultatiedocument. In plaats dat wordt gesproken over het verlenen van uitdrukkelijke toestemming is de term ‘bevestigen’.

Opvallend is dat het consultatiedocument voor betalingsdienstaanbieders wél een mogelijkheid biedt voor aanvullende informatie tijdens de klantreis: “Losstaande stap indien vanuit klantperspectief wenselijk of als er supplementaire informatie weergegeven moet worden.” Een snelle gedachte is dat dit juist voor rekeninginformatiediensten kan gelden.

Reacties op de consultatie kunnen aan DNB worden gestuurd via consultatie@dnb.nl onder vermelding van ‘Q&A Klantreis zonder obstakels inzake betaalinitiatie- en rekeninginformatiediensten via derde partijen’. De deadline voor het insturen van reacties is 20 september 2019.