PSD2: Wie haalt de voet van de privacy-rem?

Volgens doemdenkers ruiken technologiereuzen hun kans schoon om ook transactiedata aan het al schier oneindige portfolio over jou toe te voegen.

Hoe zat het ook alweer? Belangrijkste gevolg van PSD2 (voluit: Payment Service Directive II) is dat het banken verplicht om derden toegang te bieden tot banksaldi en andere financiële gegevens van particuliere klanten. Deze derden moeten wel een vergunning hebben en, bovendien, toestemming van de consument. Allerhande bedrijven komen in aanmerking voor een vergunning: van kleine FinTech start-ups tot grote reuzen als Facebook, Google en Amazon.

PSD2 opent de deur voor innovatieve financiële dienstverlening. Natuurlijk moet er kritisch worden gekeken naar de gevolgen van de richtlijn voor betaalgegevens. De bankkluis waar altijd een schat aan persoonsgegevens in heeft gelegen gaat open voor bedrijven die niet per se het belang van de consument op één hebben staan. Maar: hoe erg is dat nu eigenlijk?

Risico's zijn uitgebreid belicht

We kunnen moeilijk zeggen dat er weinig aandacht is voor de risico’s van PSD2. Niet minder dan vier nationale toezichthouders hebben al aandacht besteed aan dit dossier: DNB, AFM, AP en ACM. Met name privacy-risico’s van PSD2 komen steeds weer aan de orde. Daarnaast  heeft de European Banking Authority strenge technische standaarden uitgevaardigd om veiligheid en consumentenbescherming te waarborgen. PSD2-dienstverleners moeten aan deze standaarden voldoen.

Maar bovenal: de financiële gegevens waartoe derde partijen toegang krijgen, zijn ook “gewoon” persoonsgegevens onder de privacy-wetgeving. Dat is ook één van de kritiekpunten van de AP op het  concept-besluit waarmee PSD2 wordt geïmplementeerd: er zijn geen aanknopingspunten voor een onderscheid tussen betalingsgegevens en persoonsgegevens. Dat betekent – bijvoorbeeld – dat een partij betalingsgegevens nooit zonder grondslag mag verwerken, laat staan dat de gegevens zomaar verkocht of doorgegeven mogen worden. Ook zal een betrokkene (in beginsel) toestemming moeten geven voordat een partij als Facebook op grond van bankgegevens een geautomatiseerd besluit over – bijvoorbeeld – kredietwaardigheid  mag nemen. Met de strengere eisen die de AVG  aan toestemming van een betrokkene stelt, is het niet goed denkbaar dat een betrokkene verrast wordt door een nieuwe verwerking van zijn financiële data.

Banken kunnen data al doorverkopen

Oftewel: rondom de betalingsgegevens gelden dezelfde privacy-waarborgen als de persoonsgegevens die de gemiddelde consument nu al met grote corporates deelt. Bovendien zijn er al grote corporates die over de gegevens beschikken: namelijk de banken zelf. Ook zij kunnen – in theorie – betalingsgegevens doorverkopen aan andere partijen (iets wat ING overigens af zal raden). Maar goed, kennelijk krijgen de banken wel het vertrouwen dat toekomstige PSD2-dienstverleners maar mondjesmaat krijgen.

Toegegeven: de verschillende toezichthouders moeten nog best wat privacyrechtelijke noten kraken om PSD2 te implementeren. Maar al met al zijn de betalingsgegevens zo bijzonder niet, en zullen ook zij een plek in het juridisch speelveld krijgen. Mag de innovatie in de financiële sector die PSD2 belooft dus de dupe worden van voorafgaande privacyzorgen? Ik denk het niet.