Zaterdag 14/12/2019

economie

Nieuwe betalingsregels botsen hard met privacy: EU-regels dwingen banken tot delen rekeninggegevens

Beeld ANP XTRA

Ook consumenten die daar niet mee instemmen, lopen het risico dat derden toegang krijgen tot hun financiële gegevens. Dit is het gevolg van ingrijpende nieuwe Europese regels voor het betalingsverkeer.

Minder dan anderhalve maand voor het in werking treden van de Europese richtlijn, PSD2 geheten, blijkt over cruciale onderdelen nog altijd grote verwarring te heersen. Vooral privacydeskundigen maken zich zorgen. Zo is nog onduidelijk of en hoe burgers beschermd worden die ervoor kiezen hun rekeninginformatie niet te delen. "PSD2 laat ontzettend veel open. Ik ben bang dat hier eindeloos over geprocedeerd gaat worden", zegt Bart Jacobs, Nederlands hoogleraar computerbeveiliging (Radboud Universiteit).

PSD2 dwingt banken om, met toestemming van de klant, diens rekeninggegevens te delen met de concurrentie. Op die manier wil de EU innovatieve partijen een kans geven op de Europese betaalmarkt.

Tussen twee vuren

Verwacht wordt dat vooral fintechbedrijven de benodigde vergunning zullen aanvragen. Dat kunnen kleine start-ups zijn, maar ook grote multinationals als Amazon, Apple en Google. Zij kunnen buiten de traditionele banken om onlinebetalingen gaan afhandelen of financieel advies verstrekken. Daarvoor moet de klant dan wel eerst groen licht geven. Maar ook de gegevens van 'PSD2-weigeraars' lijken niet veilig. Een deel van hun betalingen en ontvangsten zal opduiken in de administratie van mensen die wel bereid zijn gegevens te delen.

Handige techbedrijven kunnen via die achterdeur in theorie alsnog een financieel profiel samenstellen van deze groep. "De regelgeving zegt hier niets over", constateert Jacobs. "Ik weet dat de banken ontzettend worstelen met dit punt. Zij komen tussen twee vuren te zitten. Enerzijds de nieuwe PSD2-partijen, die alle data willen hebben. Anderzijds hun klanten wier privacy ze horen te waarborgen."

ING Nederland bevestigt dat de bank straks verplicht is alle transactiegegevens te delen. Ook de naam en het rekeningnummer van de tegenpartij waaraan betaald wordt of van wie geld wordt ontvangen.

Maar, merkt een woordvoerder op, met die gegevens van "omstanders" mag verder niets gedaan worden. De klant kan er volgens haar op "vertrouwen dat de derde partij zorgvuldig, behoorlijk en in overeenstemming met wet- en regelgeving omgaat met je persoonsgegevens".

Te vrijblijvend

Volgens de Europese Commissie zal PSD2 het Europese betalingsverkeer zelfs veiliger maken. "Deze regels zullen alle marktpartijen aansporen om consumenten betere betalingsdiensten te bieden, waarbij hun veiligheid gewaarborgd wordt", stelde eurocommissaris Valdis Dombrovskis vorig week. De positie van consumenten die geen toestemming geven om hun gegevens te delen is nog onderwerp van discussie.

Wat er nu ligt, is in elk geval te vrijblijvend, oordeelt de Tilburgse hoogleraar Lokke Moerel, tevens privacy-advocaat bij Morrison & Foerster. "De regels zijn zó algemeen. Straks gaat elk bedrijf voor zichzelf bepalen wat het op basis van toestemming van de klant met deze data denkt te mogen doen." Moerel pleit ervoor dat de Autoriteit Persoonsgegevens, die met drie andere toezichthouders moet gaan controleren of PSD2 netjes wordt uitgevoerd, richtlijnen opstelt om duidelijkheid te scheppen.

Meer over

Wilt u belangrijke informatie delen met De Morgen?

Tip hier onze journalisten


Op alle verhalen van De Morgen rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234