Bij de internetconsultatie over het implementatiebesluit PSD2 heb ik aandacht gevraagd voor de gegevens van derden die in de bankgegevens zijn opgenomen van degene die toestemming geeft. Dat dit een serieus punt is, waar financiële instellingen aandacht aan moeten geven, is inmiddels verder doorgedrongen.

Simon Hania schrijft in een artikel voor Netkwesties onder de titel “Data-overdracht wordt veel te gemakkelijk doorgevoerd. Bankgegevens niet veilig na invoering PSD2” dat onvoldoende is nagedacht over de privacy van derden. Hij schrijft onder meer:

Toch zie ik nog twee problemen met PSD2:

[1] Het kan je overkomen dat jouw gegevens bij een voor jou onbekend bedrijf terechtkomen.
[2] Het toezicht is gefragmenteerd en onvoldoende slagvaardig op pad gestuurd.

Datazeggenschap ontnomen

Bedenk dat er, net als wanneer je iemand belt, bij een banktransactie altijd twee partijen betrokken zijn. De ene kant maakt geld over naar de andere. Als een van beide partijen ervoor kiest om het toe te staan dat zijn gegevens naar een nieuwe innovatieve dienstverlener gaat, gaan de gegevens van de andere partij ook mee.
De bank mag dat niet tegenhouden volgens PSD2. Het kan echter heel goed zijn dat die andere partij in de transactie helemaal niet wil dat zijn gegevens bij die andere dienstverlener terechtkomen. Hij wordt ook niet geïnformeerd. Bedenk dat betalingen best gevoelig kunnen zijn en zaken kunnen onthullen die je liever in beperkte kring houdt. Dubbel fout dus, dit: je weet het niet en kunt er niks tegen doen.

Het lijkt me simpel: banken zullen de gegevens van derden moeten afschermen, tenzij er toestemming is gegeven. Dit is in overeenstemming met de (huidige) Wet bescherming persoonsgegevens en de (toekomstige) Algemene Verordening Gegevensbescherming.

PSD2 op Twitter

Simon Hania:

Ik wil nummerafscherming voor mijn bankrekeningen, zoals bij telefonie al sinds jaar en dag mogelijk. Stuitende wetgevingsommissie. https://t.co/JjzyXdx9CM

— Simon Hania (@simonhania) 8 november 2017

En zie ook:

Hoe gaat @ABNAMRO ervoor zorgen dat mijn gegevens niet worden ‘meegezonden’ naar derden als iemand toestemming geeft voor data-flow ? #psd2

— peterverhaar (@peterverhaar) 24 oktober 2017

ABN Amro heeft nog op zijn website staan dat ze persoonsgegevens van derden zonder toestemming zullen delen, maar ze denken er over na:

Goedemiddag Peter. De informatie op de website is hoe de bank de geplande wet momenteel ziet. De wet is nog niet volledig uitgekristalliseerd. Wij wachten de exacte regels af en passen indien nodig onze informatie aan op de website. ^Floris

— ABN AMRO (@ABNAMRO) 8 november 2017

Aanvulling 5 december 2017

Hania is nog steeds met het onderwerp bezig.

Stuitend. @bitsoffreedom of @privacyfirst heeft dit jullie aandacht al? https://t.co/rJOLvgCzJk https://t.co/M9eElNskTx

— Simon Hania (@simonhania) 5 december 2017

Volgens Peter Verhaar is de positie van de wederpartij van degene die een rekeninginformatiedienstverlener inhuurt bewust niet aan de orde gekomen.

Ik wil nummerblokkering. Net als bij telefonie. Volstrekt idioot dat dit over het hoofd gezien is, dan wel opzettelijk zo is gedaan. https://t.co/DWBBBBngju

— Simon Hania (@simonhania) 5 december 2017

Wordt vervolgd!

Aanvulling 6 december 2017
Ik heb een conceptbrief bedacht. Kijken wat Simon er van vindt.

Aanvullng 8 december 2017
In het FD verscheen het artikel ‘Natuurlijk gaat Facebook zich tussen de banken nestelen’. Het artikel begint sappig met “Fintech is een markt van veel geschreeuw en weinig wol”.
Wat in de marketingwereld al is gebeurd, kan ook in de banksector gaan gebeuren.

Aanvulling 22 december 2017
[1] DNB laat in een nieuwsbericht weten dat op 8 februari 2018 een seminar over PSD2 wordt gehouden met als onderwerpen het vergunningsverleningsproces en het toezicht. Verder laat de Bank weten dat een PSD2-vergunning nog niet kan worden aangevraagd vanwege de vertraging in de wetgeving. Wel zal DNB alvast een inkijkexemplaar van het vergunningsformulier met toelichting aanbieden, zodat belangstellenden een beeld van de eisen voor een vergunningverlening kunnen krijgen en zich kunnen voorbereiden. Voorts wordt melding gemaakt van de Guidelines en Regulatory Technical Standards (RTS), waaraan door de European Banking Authority (EBA) wordt gewerkt, zoals de RTS over Strong Customer Authentication en de RTS Home-Host cooperation under PSD2. De voortgang en status van de Guidelines en RTS’en heeft DNB hier geplaatst.
Uit het bericht en de genoemde pagina blijkt niet op welke wijze rekening gehouden wordt met derdeninformatie in het kader van rekeninginformatiediensten en hoe vergunninghouders aan de eisen van de Algemene Verordening Gegevensbescherming zullen gaan voldoen.

[2] De EBA plaatste op 19 december jl. een bericht over de overgang naar PSD2, “EBA publishes Opinion on the transition from PSD1 to PSD2“. De genoemde opinie is hier te vinden. De overige berichten van EBA voor betaaldienstverleners zijn hier te vinden.