Sinds begin 2019 is de tweede Betaaldienstrichtlijn (PSD2) van kracht. Deze regelgeving maakt het mogelijk dat derden (onder strikte voorwaarden) toegang tot de bancaire gegevens van klanten kunnen krijgen. Zo kunnen FinTech-bedrijven met deze toegang applicaties ontwikkelen die aanhaken bij het (historische) betaalgedrag van mensen.
Waarom PSD2?
Betaalgegevens zijn waardevol voor banken en bedrijven, maar ook privacygevoelig voor klanten. Daarom is het belangrijk dat de wetgeving aansluit bij de (technologische) mogelijkheden. Zo kondigde ING in 2014 al aan betaalgegevens van klanten beschikbaar te willen stellen aan bedrijven. Bedrijven konden zo hun aanbiedingen beter aanpassen op de wensen van de klanten, zo was de gedachte.
Dit idee stuitte destijds op allerlei bezwaren en zorgen, vooral op het gebied van de privacy van klanten. Ook wees men op de groeiende machtspositie van banken, omdat zij met ‘beschikbaar stellen’ eigenlijk ‘verkopen’ bedoelden. PSD2 beoogt voor beide bezwaren een oplossing te bieden, terwijl het toch het delen van deze gegevens mogelijk moet maken.
Met PSD2 moeten banken hun systemen kosteloos openstellen voor derden. Wel moeten deze derden toestemming hebben van de klant en moeten zij een vergunning hebben van De Nederlandsche Bank. Op het gebied van privacy is (vanzelfsprekend) de Algemene Verordening Gegevensbescherming (AVG) van toepassing op zulke diensten. Daarnaast geeft de richtlijn nog een aantal aanvullende privacy waarborgen.
Welke mogelijkheden biedt PSD2?
De twee in de richtlijn genoemde diensten zijn zogenaamde ‘Betaalinitiatiediensten’ en ‘Rekeninginformatiediensten’. Betaalinitiatiediensten zijn alternatieven voor diensten zoals iDeal of Paypal. Rekeninginformatiediensten geven inzicht in het inkomsten- en uitgavenpatroon van mensen. Denk bijvoorbeeld aan (online) huishoudboekjes op basis van bankrekeninggegevens van klanten. Ook krediet- en hypotheekverstrekkers kunnen in de toekomst dergelijke inzage verlangen, bijvoorbeeld voor het maken van een risicoprofiel.
Hoe zit het met de privacy?
Net als in 2014 (met de plannen van ING) zijn er ook nu bezwaren met oog op de privacy van klanten. Hoewel naast deze richtlijn de Algemene Verordening Gegevensbescherming gewoon van toepassing blijft, zijn de zorgen zeker niet ongegrond. Zo kan worden getwijfeld aan de waarborgen rondom de privacy van derden.
Als de hypotheekverstrekker van Piet kan zien dat Jan geld naar Piet overmaakt, heeft hij daarmee ook (zonder toestemming) inzicht in het betaalgedrag van Jan. Nu is dat bij incidentele betalingen niet zo’n groot probleem, maar als alle transacties van Jan op die manier gevolgd kunnen worden wel.
Aldus kunnen deze vormen van gegevensverwerking tot problemen leiden met betrekking tot de bescherming van privacy. Zeker als dergelijke gegevens op grote schaal verwerkt gaan worden kan van mensen (zonder toestemming) toch een risicoprofiel worden opgesteld.
De kansen
Maar de richtlijn biedt ook kansen. In de praktijk zullen vooral ‘big tech-bedrijven’ (Google, Facebook Amazon) dergelijke producten gaan ontwikkelen. Zo heeft Google al een vergunning gekregen van de Ierse toezichthouder. Met die vergunning mag Google deze diensten in de hele Europese Unie aanbieden.
Er komen ook kansen voor kleinere innovatieve ondernemingen. De drempel voor startups en andere kleinere FinTech ondernemingen om zich op de betaaldienstenmarkt te begeven is fors lager geworden. Daarmee kunnen zij wellicht een plekje veroveren in een markt die tot dusver vooral gedomineerd werd door een paar grootbanken. Hoewel er zeker bezwaren bestaan, bijvoorbeeld vanuit de hoek van privacy bescherming, biedt de richtlijn ook kansen voor innovatieve projecten.
Hulp nodig?
Heb je een vraag over PSD2? Of heb je een andere vraag? Ik help je graag verder. Bel of mail mij dus gerust.
Jonatan Faas
Advocaat