Enkele Nederlandse banken en fintechs werken samen met Stichting Privacy First aan een PSD2-keurmerk. Daarmee willen de bedrijven aan consumenten duidelijk maken wie ze hun data kunnen toevertrouwen. De Volksbank schaart zich als een van de eersten achter het initiatief. Op welke behoefte spelen de betrokkenen in?
Yoshi Tuk interviewde in mei 2019 Privacy first woordvoerder Martijn van der Veen voor Emerce. Hieronder het interview:
De Europese betaalrichtlijn PSD2 levert behalve innovatie ook privacyzorgen op. De in januari in werking getreden richtlijn – Nederland volgt waarschijnlijk deze zomer met eigen wetgeving – zorgt ervoor dat consumenten bedrijven toegang kunnen geven tot hun bankrekening en (financiële) data. De vraag is echter of zij doorhebben privacygevoelige gegevens te delen. Eenmaal gedeeld kunnen banken die data bovendien niet meer ‘terughalen’.
Behalve een voordeel kleeft er dus ook een reëel risico aan PSD2, stelt Privacy First. Samen met enkele Nederlandse banken en fintech-bedrijven werkt de belangenorganisatie daarom aan een keurmerk. De partijen reageren daarmee op uitspraak van De Nederlandsche Bank. Die zou eerder hebben vastgesteld dat hier behoefte aan is. Terwijl de AVG, de nieuwe Europese privacywet, moet zorgen voor betere bescherming zet PSD2 de achterdeur open, legt Martijn van der Veen van Privacy First uit.
Hoe zien jullie de PSD2 vanuit privacy-oogpunt?
Van der Veen: “Het onderwerp privacy is binnen PSD2 veel te lang onderbelicht gebleven. Lang was PSD2 vooral een feestje voor fintechs en gericht op het innoveren van het betalingsverkeer.
“Met PSD2 kunnen partijen onder meer inzage krijgen in je transactiegegevens, bijvoorbeeld voor het krijgen van inzicht over meerdere bankrekeningen heen. Een bank mag die transactiedata niet zomaar verstrekken, daarvoor moet een consument ‘uitdrukkelijke toestemming’ geven. Dat is niet eventjes een vinkje zetten. De persoon moet ‘vrije, specifieke en geïnformeerde’ toestemming geven. Op papier is het dan prima geregeld. Maar de impact van PSD2 op de privacy kan veel groter zijn dan de vraag of iemands toestemming is geregistreerd.
“Onze grootste zorg is wat er gebeurt met de gegevens zodra die bij een dienstverlener liggen. Wat doen die ermee? Denk maar niet dat diensten beperkt blijven tot het tonen van transactiegegevens, bedrijven willen iets doen met die grote hoeveelheid gegevens die in hun bezit komt. Denk aan het doen van aanbiedingen, nieuwe diensten en vergelijkingen. Daarvoor willen ze gegevens koppelen, relateren en zoeken naar patronen. En uiteraard zit daar ook een verdienmodel aan vast.
“Een verkeerde framing is dat het ‘maar’ transactiegegevens zijn. Je kunt er ontzettend veel uit afleiden over iemands leven. Als je bij een bank drie jaar terug kan kijken, dan ontvangt de aanbieder ook direct drie jaar aan transactiedata. Aan rekeningnummers kan je aflezen of iemand vaak medische ondersteuning gebruikt, waar een persoon vaak komt en wat iemands leefpatroon is. Uit terugkerende overboekingen leid je af of iemand lid is van een religieuze organisatie of vakbond. Dat zijn gegevens die met goede redenen niet gebruikt mogen worden.
“Het gekke is, waar iedereen vanwege de AVG zijn best doet om zijn privacybescherming op orde te krijgen zet PSD2 de achterdeur wagenwijd open.”
Maar waarom is een keurmerk nodig?
“Het Privacy Keurmerk PSD2 moet consumenten helpen bij hun keuze voor een aanbieder. Het geeft informatie over of de aanbieder goed met de persoonlijke gegevens om zal gaan en te vertrouwen is. Daarbij willen we de open normen van de wet inkleuren. Nu bepaalt een aanbieder wat een fatsoenlijke bewaartermijn van gegevens is. En hoe snel hij reageert op klachten. Het is maar de vraag of het belang van de consument dan voorop staat. Het keurmerk informeert consumenten en stimuleert aanbieders om het niveau van privacybescherming te verhogen. Voor beide partijen is dat waardevol omdat dit het vertrouwen in een dienstverlener verhoogt.”
Op welke concrete vlakken moet het keurmerk toetsen en toezicht houden?
“Partijen moeten vanwege hun PSD2 vergunning en privacywetgeving al veel op orde hebben. Het keurmerk zal vooral gaan over de vraag of een aanbieder secuur omgaat met de persoonlijke gegevens. Zonder PSD2 waren banken de primaire partij om zaken mee te doen. Zij hadden een reputatie, klantenservice en een zorgplicht. Dat moet nu allemaal opnieuw ontstaan en het keurmerk kan daarbij helpen. Denk bijvoorbeeld aan de vraag hoe een persoon wordt geïnformeerd of wat er gebeurt met de data. En hoe goed de partijen hun verantwoordelijkheden nemen als het gaat om dataminimalisatie en bescherming.
“Vergelijk het vanuit de aanbieder gezien met rijden op de weg. Dat iemand een rijbewijs heeft, maakt diegene nog geen goede b
estuurder. We willen verder invullen hoe je een goede bestuurder kan zijn. Het keurmerk zal door onafhankelijke partijen getoetst moeten worden. We denken nu aan een onafhankelijke stichting die houders van het keurmerk beoordeelt. Maar dat is nog work in progress.”
PSD2 zegt veel mensen helemaal niets. Er bestaan bovendien al een woud aan (online) keurmerken. In hoeverre denk je dat consumenten oog hebben hiervoor?
“Ik ben blij dat je deze vraag stelt. Want zit daar nu niet net het probleem? PSD2 leunt heel sterk op het krijgen van uitdrukkelijke toestemming. Het keurmerk biedt informatie over de aanbieder. Maar als een consument geen oog heeft voor een eenvoudige indicatie of de partij goed omgaat met gegevens waarom gaan we er dan wel van uit dat diezelfde consument zich goed informeert over een dienst? Als het gaat om privacy dreigt privacy een papieren werkelijkheid te worden, dat willen we met een keurmerk voorkomen.
“We weten nog niet precies hoe het keurmerk eruit gaat zien. Voorop staat dat het eenvoudig en duidelijk moet zijn.”
Welke zaken hadden wat jullie betreft beter geregeld moeten zijn in de wetgeving?
“Juist omdat de PSD2 erg steunt op de AVG hadden we graag gezien dat consumenten veel directer invloed konden uitoefenen op de historie van de transactiegegevens en het afschermen van bepaalde data waaruit bijzondere persoonsgegevens zijn af te leiden. Zodra iemand zijn toestemming intrekt hadden alle partijen die over gegevens beschikken deze automatisch moet wissen. Dit is nu nog niet het geval. Maar het lastige van privacywetgeving is dat bepaalde termen nu eenmaal nader ingevuld moeten worden. De wet kan niet alles regelen.
“Voor de bescherming van privacy was het makkelijker geweest als banken vanuit hun zorgplicht een rol konden spelen. Dat leidt echter al snel tot concurrentievervalsing. En het idee van PSD2 is nu juist om nieuwe toetreders een kans te geven. Wie weet komt er nog een fintech met een PSD2 dashboard waarmee die stap alsnog te maken is.”
Onder andere de Volksbank werkt mee. Van welke organisaties verwacht je nog meer betrokkenheid?
“We gaan ervan uit dat alle banken, fintechs en belangenverenigingen die te maken hebben met de PSD2 mee zullen doen. Een aantal hebben zich al aan het initiatief verbonden en zijn nauw betrokken bij de verdere ontwikkeling.
“Waar we naar streven is dat het ontbreken van een keurmerk als een dissatisfier werkt. Dit zal dus nadelig zijn voor het imago van zo’n onderneming. We willen de komende tijd nog meer consumentenorganisaties en belangenverenigingen aanhaken. Zij kunnen helpen om de normen vanuit hun achterban in te vullen. De tijd van innoveren en geld verdienen zonder oog te hebben voor privacy is nu echt voorbij.”
Welke concrete stappen worden er nu gezet?
“We willen rond de zomer met een self assessment komen waarmee banken en fintechs zichzelf kunnen beoordelen. We werken nu hard aan het onderliggende normenkader zodat duidelijk wordt waaraan bedrijven moeten voldoen om het keurmerk te verdienen. Naast een self assessment willen we snel een organisatie optuigen voor het verwerken van de aanvragen en het in de markt zetten van het keurmerk. Er is nog een hoop te doen, maar het tempo zit er nu goed in.”