Een nieuwe betaalrichtlijn (PSD2), wat is dat en waar is die voor?

Sinds begin dit jaar is de tweede Betaaldienstrichtlijn (PSD2) van kracht. Deze regelgeving maakt het mogelijk dat derden (onder strikte voorwaarden) toegang tot de bancaire gegevens van klanten kunnen krijgen. Zo kunnen FinTech-bedrijven met deze toegang applicaties ontwikkelen die aanhaken bij het (historische) betaalgedrag van mensen.

Waarom PSD2?

Betaalgegevens zijn waardevol voor banken en bedrijven, maar ook privacy-gevoelig voor de klanten. Daarom is het belangrijk dat de wetgeving aansluit bij de (technologische) mogelijkheden. Zo kondigde ING in 2014 al aan betaalgegevens van klanten beschikbaar te willen stellen aan bedrijven. Bedrijven konden zo hun aanbiedingen beter aanpassen op de wensen van de klanten, zo was de gedachte.

Dit idee stuitte destijds op allerlei bezwaren en zorgen, vooral op het gebied van de privacy van klanten. Maar ook werd gewezen op de gevaren van de machtspositie van banken als met ‘beschikbaar stellen’ eigenlijk ‘verkopen’ wordt bedoeld. PSD2 beoogt voor beide bezwaren een oplossing te bieden, terwijl het toch het delen van deze gegevens mogelijk moet maken.

Met PSD2 moeten banken hun systemen kosteloos openstellen voor derden. Wel moeten deze derden toestemming hebben van de klant en moeten zij een vergunning hebben van De Nederlandsche Bank. Op het gebied van privacy is (vanzelfsprekend) de Algemene Verordening Gegevensbescherming van toepassing op dergelijke diensten. Daarnaast wordt in de richtlijn nog een aantal aanvullende privacy waarborgen geregeld.

Welke mogelijkheden biedt PSD2?

De twee in de richtlijn genoemde diensten zijn zogenaamde ‘Betaalinitiatiediensten’ en ‘Rekeninginformatiediensten’. Betaalinitiatiediensten zijn alternatieven voor diensten zoals iDeal of Paypal. Rekeninginformatiediensten geven inzicht in het inkomsten- en uitgavenpatroon van mensen. Denk bijvoorbeeld aan (online) huishoudboekjes op basis van bankrekeninggegevens van klanten. Ook krediet- en hypotheekverstrekkers kunnen in de toekomst dergelijke inzage verlangen, bijvoorbeeld voor het maken van een risicoprofiel.

Hoe zit het met de privacy?

Net als in 2014 (met de plannen van ING) zijn er ook nu bezwaren met oog op de privacy van klanten. Hoewel naast deze richtlijn de Algemene Verordening Gegevensbescherming gewoon van toepassing blijft, zijn de zorgen zeker niet ongegrond. Zo kan worden getwijfeld aan de waarborgen rondom de privacy van derden.

Als de hypotheekverstrekker van Piet kan zien dat Jan geld naar Piet overmaakt, heeft hij daarmee ook (zonder toestemming) inzicht in het betaalgedrag van Jan. Nu is dat bij incidentele betalingen niet zo’n groot probleem, maar als alle transacties van Jan op die manier gevolgd kunnen worden wel.

Aldus kunnen deze vormen van gegevensverwerking tot problemen leiden met betrekking tot de bescherming van privacy. Zeker als dergelijke gegevens op grote schaal verwerkt gaan worden kan van mensen (zonder toestemming) toch een risicoprofiel worden opgesteld.

De kansen

Maar de richtlijn biedt ook kansen. In de praktijk zullen vooral ‘big tech-bedrijven’ (Google, Facebook Amazon) dergelijke producten gaan ontwikkelen. Zo heeft Google al een vergunning gekregen van de Ierse toezichthouder. Met die vergunning mag Google deze diensten in de hele Europese Unie aanbieden.

Er komen ook kansen voor kleinere innovatieve ondernemingen. De drempel voor startups en andere kleinere FinTech ondernemingen om zich op de betaaldienstenmarkt te begeven is fors lager geworden. Daarmee kunnen zij wellicht een plekje veroveren in een markt die tot dusver vooral gedomineerd werd door een paar grootbanken. Hoewel er zeker bezwaren bestaan, bijvoorbeeld vanuit de hoek van privacy bescherming, biedt de richtlijn ook kansen voor innovatieve projecten.

Wil je weten wat REIN voor jou kan betekenen? Neem dan contact op met Rens Nijdam of Samé Iejad.

nijdam@rein.nl 06 10935581
Delen: