Ontwikkelt PSD2 zich nu al in een gevaarlijke richting?
Door Paul Jans
Op 19 februari 2019 is de PSD2 in de Nederlandse wet verankerd. De wet maakt het mogelijk dat rekeninghouders toestemming verlenen aan derde partijen om hun rekeninginformatie te delen of zelfs betalingen te laten initiëren vanaf hun betaalrekening bij de bank. Deze derde partijen hebben hier wel een vergunning van toezichthouder DNB voor nodig. Inmiddels zijn er verschillende partijen in het bezit van deze vergunning en de verwachting is dat dit aantal in de komende periode nog flink zal toenemen.
De maatschappelijke kritiek op het delen van persoonsgegevens klinkt heden ten dage een stuk minder hard door dan in voorgaande jaren. Het feit dat rekeninginformatiedienstaanbieders vergunningsplichtig zijn en daardoor ook aan strikte beveiligingsvereisten en privacy-gerelateerde voorwaarden moeten voldoen lijkt hier debet aan: de vergunning sterkt de rekeninghouder in het vertrouwen dat zijn rekeninginformatie goed wordt beschermd wanneer deze wordt gedeeld.
Gevaarlijke ontwikkeling
Het is de vraag hoe lang deze relatieve rust nog in stand blijft. In de markt zijn namelijk verscheidene initiatieven zichtbaar waarmee bedrijven die betaalrekeninginformatie van hun klanten of prospects willen inzien, de vergunningsplicht kunnen omzeilen. Sommige van de vergunninghoudende partijen beogen bijvoorbeeld om ‘License as a Service’ als product aan te bieden. Hun bedrijfsmodel bestaat er kortgezegd uit dat zij aan niet-vergunninghoudende partijen de mogelijkheid bieden om via hun vergunning tóch betaalrekeninginformatie van klanten op te kunnen vragen. De klant moet dan toestemming geven aan zowel haar eigen leverancier als een de haar onbekende vergunning-houdende partij en dan ook nog zowel een PSD2-toestemming als een AVG-toestemming.
License as a Service: de bank levert rekeninginformatie van haar rekeninghouder aan een vergunninghoudende partij die deze informatie weer doorstuurt aan een derde partij.
De European Banking Authority (EBA) heeft in een verklaring gesteld dat PSD2 niet vereist dat de rekeninginformatie enkel ter beschikking mag worden gesteld aan de rekeninghouder. Maar meer relevant dan de vraag of bovenstaande constructie juridisch houdbaar is, is de vraag of deze ontwikkeling maatschappelijk wenselijk is.
Wanneer vergunninghoudende partijen gaan optreden als tussenpersonen tussen onderneming en consument neemt de keten en daarmee ook het risicoprofiel in omvang toe. Hoe is de verantwoordelijkheid voor klantonderzoek georganiseerd? Wie is er aansprakelijk indien het niet-vergunninghoudende bedrijf onzorgvuldig omgaat met de verkregen rekeninggegevens? Strookt de toestemming met de feitelijke opgevraagde gegevens? Er is in ieder geval één Europese lidstaat die de interpretatie kiest dat de rekening informatie service direct aan de rekeninghouder moet worden verstrekt.
In de politieke en maatschappelijke discussie wordt tot op heden niet intensief ingegaan op het fenomeen ‘License as a service’. Dit gebrek aan aandacht strookt niet met de risico-impact die introductie van deze marktspelers in potentie met zich mee kan brengen. Om de discussie omtrent het delen van persoonsgegeven niet opnieuw te laten oplaaien is het van groot belang dat duidelijk wordt gemaakt hoe de toezichthouders de aan deze partijen gerelateerde risico’s denken te kunnen beheersen. Alleen door het bieden van duidelijkheid kan worden gewaarborgd dat de met PSD2 beoogde innovatieslag niet bij voorbaat wordt verloren door hernieuwde privacy-gerelateerde angst en achterdocht bij de consument.
Paul Jans is Managing Director bij Enigma Consulting