De Europese regels, die voorschrijven dat financiële instellingen in heel de EU actief moeten kunnen zijn met een ‘Europees paspoort’, kunnen tot gevolg hebben dat zowel bedrijven als consumenten met financiële ondernemingen uit andere lidstaten te maken krijgen. Één van die Europese wetten is PSD2, die tot gevolg zal hebben dat ‘rekeninginformatiedienstverleners‘ uit andere lidstaten in Nederland actief kunnen worden en hun diensten aan Nederlandse consumenten en ondernemingen aanbieden. Aangezien die rekeninginformatiedienstverleners de complete rekeninginformatie van hun klanten kunnen oogsten bij de bank, inclusief gegevens van derden, is belangrijk dat de privacy en cybersecurity goed op orde zijn.

Dat moeten dan geen partijen zijn die de regels aan hun laars lappen, zoals Novum Bank Limited uit Malta waarover het recente bericht van de Autoriteit Financiële Markten (AFM) gaat. Deze bank kreeg in oktober jl. een bestuurlijke boete van € 1,75 miljoen opgelegd door de AFM omdat de onderneming meer dan twee jaar aan Nederlandse consumenten kortlopende leningen (flitskredieten) heeft aangeboden zonder vergunning.

De grote vraag is of de Nederlandse en Europese toezichthouders in staat zullen zijn om te voorkomen dat de nieuwe toetreders op grond van PSD2 de regels op het gebied van privacy en cybersecurity overtreden.