nieuws

‘PSD2, een Europese strategische blunder’

Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit in Nijmegen, noemde PSD2 ‘een strategische blunder’. Hij schreef een scherpe column op 12 september 2017 in het online blad iBestuur.

Als u het leuk vindt een bankier een dezer dagen de stuipen op het lijf te jagen, dan kunt u vragen: hoe ver staat het bij jullie met de PSD2? Vanaf midden januari 2018 zal deze Payment Service Directive 2 van kracht zijn. Dat is een Europese richtlijn die alle banken ertoe dwingt hun financiële systemen kosteloos open te stellen voor nieuwe FinTech dienstverleners. Is die PSD2 zo’n goed idee?

PSD2 is de afgelopen jaren bedacht door het Brusselse Directoraat Generaal Mededinging. De richtlijn is voortgekomen uit anti-bank sentimenten na de bankencrisis van 2008 en uit een blind geloof in alles wat innovatie heet en keuzevrijheid biedt. De FinTech industrie had moeite om van de grond te komen omdat banken onze financiële gegevens zo goed afschermen. Dat moest met harde hand doorbroken worden! Van privacy en bescherming van klanten, en van hun gegevens, moeten ze bij Mededinging niets hebben.

Onder PSD2 zijn twee nieuwe dienstverleners voorzien, voor het verrichten van uw betalingen en voor het geven van persoonlijk advies op basis van uw eigen financiële gegevens. In Nederland zijn wij verwend met het iDeal systeem, maar in andere Europese landen is online betalen minder soepel geregeld. iDeal is door de Nederlandse banken zelf, gezamenlijk opgezet. Externe partijen zouden dit ook kunnen doen, zodra hun betaalopdrachten in het bestaande bancaire systeem opgenomen worden. Dat dwingt PSD2 dus af, voor partijen die een PSD2 betaalvergunning hebben gekregen. Bij ons zal de nationale bank DNB die vergunningen verlenen.

De grote problemen beginnen bij de rekening-informatie-dienstverleners. Dat zijn nieuwe partijen onder PSD2, die, wederom na het verkrijgen van een vergunning ergens in Europa, rekening-informatie bij banken kunnen opvragen, zodra een klant daar toestemming voor geeft. Het business model van deze dienstverleners is gebaseerd op het verwerken van persoonsgegevens. In de digitale economie hebben zorgvuldig opgebouwde verzamelingen van persoonsgegevens grote waarde. Onder PSD2 kunnen ze gratis bij banken opgeëist worden.

Big five

De naïeve drijfveer van het Directoraat Mededinging lijkt te zijn geweest om al die kleine sympathieke FinTech startups te helpen, ten koste van die nare grote banken die maar op hun gouden eieren blijven zitten. Het lijkt bij niemand te zijn opgekomen dat misschien niet alleen kleine sympathieke partijen een PSD2 vergunning aan zullen vragen, maar ook minder sympathieke Amerikaanse ICT-giganten, zoals de big five: Google, Facebook, Apple, Microsoft en Amazon. Zij krijgen zo het tafelzilver van Europese banken gratis op een presenteerblaadje aangeboden. De Europese banken kunnen door deze big five kosteloos leeggezogen worden, terwijl ze een niet-kosteloze betaalinfrastructuur in stand moeten houden. De bankensector raakt hierbij het contact met de eigen klanten kwijt en verliest de controle over zeer gevoelige persoonsgegevens. Ik kan geen snellere manier bedenken om een sector om zeep te helpen en in handen te geven van overzeese concurrenten. Een strategische blunder van de hoogste orde, die de basis zou kunnen vormen van de volgende, exclusief Europese, bankencrisis. Een crisis die ditmaal niet veroorzaakt is door inhalige bankiers, maar door kortzichtige beleidsmakers en door politici die zich hebben laten inpakken door het moderne toverwoord ‘innovatie’. Over vijf jaar kijken we elkaar aan en vragen onszelf af: hoe hebben we dit ooit kunnen laten gebeuren?

In plaats van alleen zichzelf in de voet te schieten had Europa op zijn minst wederkerigheid moeten eisen, waarbij ook de (Amerikaanse) ICT-sector gedwongen wordt om haar kostbare gegevens gratis aan andere bedrijven beschikbaar te stellen – natuurlijk slechts na toestemming van de betrokkene. Dan hadden allerlei innovatieve sociale media startups aan de slag gekund met de gegevens van bijvoorbeeld Facebook of Google. Waarom mogen die ICT-bedrijven wel op hun gouden eieren blijven zitten? Is hun lobby in Brussel misschien sterker of slimmer geweest?

Daarnaast is het economisch onbegrijpelijk dat deze afgedwongen overdracht van waardevolle financiële gegevens van klanten kosteloos plaats moet vinden.

We kunnen ervan uitgaan dat een bedrijf als, zeg, Google, een PSD2 vergunning zal aanvragen in Europa. Daarmee kan Google hier eigen financiële diensten opzetten en koppelen aan haar reeds alomvattende bestaande digitale infrastructuur. Google zal aan haar gebruikers toestemming gaan vragen om financiële gegevens op te halen bij de banken van die gebruikers. De PSD2 richtlijn beperkt het gebruik van die gegevens tot financiële dienstverlening. Maar Google zal ongetwijfeld aanvullende toestemming vragen om die gegevens te mogen koppelen met de gegevens die Google al lang heeft over deze gebruikers. Denk aan wat Facebook met de gegevens van WhatsApp doet, ondanks fraaie beloften. Vervolgens heeft Google een ideale informationele machtspositie voor het sturen en manipuleren van deze gebruikers en voor differential pricing: het afhankelijk maken van de prijs van een product van de persoonlijke omstandigheden van de mogelijk geïnteresseerde koper. Dit is Google’s ideaal van ‘dienstverlening’. Prijzen worden er niet lager van.

Opgejaagde banken

Veel Europese banken zullen waarschijnlijk zelf ook, bijvoorbeeld via een dochterbedrijf, een PSD2 vergunning aanvragen zodat ze financiële informatie op kunnen eisen bij hun concurrenten. Zitten we te wachten op zulke opgejaagde ‘cowboy’ banken die financiële gegevens voor allerlei andere doeleinden gebruiken zodat klanten via persoonlijke aanbiedingen zo hoog mogelijke marges betalen? Of was het misschien toch niet zo’n gek idee dat banken de gevoelige financiële gegevens van hun klanten zorgvuldig afschermen?

Maar we hebben toch toezichthouders? Jazeker, maar het toezicht op PSD2 is versnipperd over De Nederlandsche Bank DNB, de Autoriteit Persoonsgegevens AP, en de Autoriteit Consument en Markt ACM. Deze partijen hebben nooit eerder samen aan een zo veelomvattende klus gewerkt en moeten elkaar nog vinden, met de beperkte middelen die ze hebben.

Is alles verloren? Natuurlijk kan ondoordachte wetgeving gerepareerd worden, maar dat kost tijd. Ondertussen kunnen er al Europese banken omgevallen zijn. Het gratis karakter van de verstrekking kan opgeheven worden. Ook kan de wederkerigheid ten opzichte van de Amerikaanse ICT-giganten alsnog afgedwongen worden, in eerste instantie via de tot nu toe nauwelijks uitgewerkte eis van dataportabiliteit voor particulieren in de aanstaande Algemene Verordening Gegevensbescherming. Fundamentele oplossingen zijn dat echter niet.

Het onderliggende probleem is het naïeve geloof van beleidsmakers in de vermeende voordelen van ongebreidelde keuzevrijheid voor consumenten. Vergroting van keuzevrijheid voegt niets toe als iedereen ongezien toch altijd ‘akkoord’ klikt om maar verder te kunnen. Sterker nog, vergroting van keuzevrijheid werkt averechts en verzwakt juist de positie van consumenten tegenover almachtige ICT-giganten; die krijgen op alleen maar meer vragen om toegang ‘akkoord’, onder het mom van vrije keuze. Het wordt tijd dat we leren denken in termen van daadwerkelijke bescherming van burgers.

Bart Jacobs is hoogleraar computerbeveiliging aan de Radboud Universiteit in Nijmegen en voorzitter van de stichting Privacy by Design.