De European Banking Authority heeft verklaard dat PSD2 niet vereist dat de rekeninginformatie alleen ter beschikking mag worden gesteld aan de rekeninghouder. Maar is dit maatschappelijk wel wenselijk?
Tekst: Paul Jans
Sinds 19 februari 2019 is PSD2 van kracht. Deze wet maakt het mogelijk dat rekeninghouders toestemming verlenen aan derde partijen om hun rekeninginformatie te delen of zelfs betalingen te laten initiëren vanaf hun betaalrekening bij de bank. Deze derde partijen hebben hier wel een vergunning van toezichthouder DNB voor nodig. Inmiddels zijn er verschillende partijen in het bezit van deze vergunning en de verwachting is dat dit aantal in de komende periode nog flink zal toenemen.
De maatschappelijke kritiek op het delen van persoonsgegevens klinkt vandaag de dag een stuk minder luid dan in voorgaande jaren. Het feit dat rekeninginformatiedienstaanbieders vergunningsplichtig zijn en daardoor ook aan strikte beveiligingsvereisten en privacy-gerelateerde voorwaarden moeten voldoen, lijkt hier debet aan. De vergunning geeft de rekeninghouder het vertrouwen dat zijn rekeninginformatie goed wordt beschermd wanneer die wordt gedeeld.
Relatieve rust
Het is de vraag hoe lang deze relatieve rust nog in stand blijft. In de markt zijn namelijk verschillende initiatieven zichtbaar waarmee bedrijven die betaalrekeninginformatie van hun klanten of prospects willen inzien, de vergunningsplicht kunnen omzeilen.
Sommige van de vergunninghoudende partijen bieden bijvoorbeeld ‘License as a Service’ als product aan. Hun bedrijfsmodel bestaat er kortgezegd uit dat zij aan niet-vergunninghoudende partijen de mogelijkheid bieden om via hun vergunning tóch betaalrekeninginformatie van klanten op te kunnen vragen. De klant moet dan toestemming geven aan zowel zijn eigen leverancier als een voor hem onbekende vergunninghoudende partij. En dan zowel een PSD2-toestemming als een AVG-toestemming.
License as a Service: de bank levert rekeninginformatie van haar rekeninghouder aan een vergunninghoudende partij die deze informatie weer doorstuurt aan een derde partij.
Verklaring
De European Banking Authority (EBA) heeft in een verklaring gesteld dat PSD2 niet vereist dat de rekeninginformatie alleen ter beschikking mag worden gesteld aan de rekeninghouder. Maar relevanter dan de vraag of bovenstaande constructie juridisch houdbaar is, is de vraag of deze ontwikkeling maatschappelijk wenselijk is.
Risicoprofiel neemt toe
Wanneer vergunninghoudende partijen gaan optreden als tussenpersonen tussen onderneming en consument, neemt de keten en daarmee ook het risicoprofiel in omvang toe. Hoe is de verantwoordelijkheid voor klantonderzoek georganiseerd? Wie is er aansprakelijk indien het niet-vergunninghoudende bedrijf onzorgvuldig omgaat met de verkregen rekeninggegevens? Strookt de toestemming met de feitelijke opgevraagde gegevens? Er is in ieder geval één Europese lidstaat die de interpretatie kiest dat de rekening informatie service direct aan de rekeninghouder moet worden verstrekt.
Duidelijkheid bieden
In de politieke en maatschappelijke discussie wordt tot nu toe niet echt ingegaan op het fenomeen ‘License as a service’. Dit gebrek aan aandacht strookt niet met de risico-impact die introductie van deze marktspelers in potentie met zich mee kan brengen. Om de discussie over het delen van persoonsgegeven niet opnieuw te laten oplaaien, is het belangrijk dat duidelijk wordt gemaakt hoe de toezichthouders de aan deze partijen gerelateerde risico’s denken te kunnen beheersen. Alleen door het bieden van duidelijkheid kan ervoor worden gezorgd dat de met PSD2 beoogde innovatie niet wordt verloren door nieuwe privacy-gerelateerde angst en achterdocht bij de consument.
Paul Jans is managing director van Enigma Consulting.
Er is op dit moment 0 keer gereageerd op:
Meer duidelijkheid nodig over PSD2
Je kunt niet meer reageren op dit artikel.