De Europese regels die het mogelijk maken dat private ondernemingen de bankrekeninggegevens van burgers kunnen gaan analyseren, bekend onder de naam ‘PSD2’, vormen één van de riskantste ontwikkelingen van de laatste tijd. Desondanks doen Europa en de Nederlandse overheid alsof er niets aan de hand is.

De Nederlandsche Bank (DNB) startte op 11 maart jl. een informatiecampagne. In de aankondiging “DNB start publiekscampagne nieuwe mogelijkheden bankrekening” worden geruststellende woorden gesproken.

DNB start publiekscampagne nieuwe mogelijkheden bankrekening
Nieuwsbericht 11 maart 2019

De Nederlandsche Bank (DNB) start vandaag met een publiekscampagne onder de slogan ‘U beslist’ om meer bekendheid te geven aan de nieuwe mogelijkheden om anderen toegang te geven tot de bankrekening. Die toegang wordt mogelijk nu ook in Nederland de wetgeving van kracht is geworden die volgt uit de nieuwe Europese betaalrichtlijn PSD.
Niet-bancaire dienstverleners met een vergunning en banken kunnen via internet of bij het internetbankieren de rekeninghouder vragen om betalingen te mogen doen vanaf diens bankrekening, en om inzage te mogen krijgen in diens betaalgegevens. Doel van de richtlijn is het stimuleren van de innovatie en concurrentie op de Europese betaalmarkten.
DNB lanceert de campagne namens het Maatschappelijk Overleg betalingsverkeer (MOB), waarin partijen zijn verenigd die in Nederland betrokken zijn bij het retail-betalingsverkeer, zoals de banken, organisaties in de detailhandel en consumentenorganisaties. Met de campagne willen zij bevorderen dat de rekeninghouder een weloverwogen beslissing neemt als er een vraag komt om toegang te geven tot een bankrekening. Verwacht wordt dat de nieuwe mogelijkheden zullen leiden tot nieuwe producten en aanbiedingen via de bankrekening.
De nieuwe diensten mogen worden aangeboden door niet-bancaire partijen die hiertoe een vergunning hebben gekregen van de toezichthouder DNB of één van de andere toezichthouders in de EU en door banken. Het toezicht op de privacy-aspecten van de nieuwe dienstverlening wordt in Nederland gehouden door de Autoriteit Persoonsgegevens (AP).

Er kan worden doorgeklikt naar meer informatie, onder het kopje ‘U beslist’. Pas daar wordt in een item dat volgt op PSD2-promotie gewaarschuwd:

Is het veilig om toegang te verlenen?
Ja, maar denk goed na voordat u toestemming geeft.
Partijen die om toegang tot uw rekening vragen, moeten een vergunning hebben. Uw bank controleert hen. PSD2 bevat aanvullende veiligheidseisen voor toegang. Van u wordt verwacht zorgvuldig om te gaan met de beveiligingscodes van uw bank.

en daarna:

* Deel nooit zomaar uw PIN-code, wachtwoord of identiteitsbewijs.
* Bedenk altijd of u de partij die om uw toestemming vraagt, vertrouwt.
* Bij twijfel, geen toegang verlenen.

Risico’s PSD2
Wat mij betreft wordt er door DNB onvoldoende gewaarschuwd. Mogelijk zullen consumenten en kleine ondernemers niet eens herkennen dat zij met een nieuwe PSD2-dienst te maken krijgen.

Terecht waarschuwt de NOS burgers in een artikel van dezelfde datum “Weet voor wie je de deur opendoet als PSD2 aanbelt“. Daarin wordt de directeur betalingsverkeer van DNB geciteerd, die zegt dat de informatie van de bankrekening veel gevoelige informatie bevat zodat voorzichtigheid geboden is.

Waarschuwing Anti Money Laundering Centre
Ik herinner maar weer aan het rapport van het Anti Money Laundering Centre (AMLC), waarover ik eerder schreef. AMLC vreest dat PSD2 veel nieuwe mogelijkheden voor criminelen zal gaan opleveren.

Meer informatie:

Over PSD2 wordt momenteel veel geschreven, naast vrolijke marketingverhalen onder meer:

• De privacyvalkuilen van PSD2, Customerfirst.
• Weet voor wie je de deur opendoet als PSD2 aanbelt, NOS 11 maart 2019
• Feest! Uw privacy is eindelijk te koop! #PSD2, Geenstijl 11 maart 2019
• Ministerie van Financiën blundert met betaalwet, FD.
• PSD2 ingevoerd: matchen de tekentafel en de praktijk, Marketingfacts 19 februari 2019.

De overheid probeert ons gerust te stellen:

• ACM: De ACM houdt toezicht op concurrentie bij richtlijn betaaldiensten ‘PSD2’.
• EBA: EBA publishes clarifications to the first set of issues raised by its Working Group on APIs under PSD2, 11 maart 2019
• DNB: informatie over PSD2.
• AFM: informatie over PSD2.

Aanvulling 26 april 2019
Henk Boeke schreef voor Platform Burgerrechten het artikel “PSD2 – zelfs NEE zeggen helpt niet“.
Jammer dat hij aan het slot van het artikel laat blijken de anti-AVG campagne van datagraaiers te ondersteunen door voorbeelden van doorgeschoten privacy te verzamelen. Meestal zullen dat overigens gevallen van verkeerde uitleg van de AVG zijn.

Aanvulling 3 mei 2019
Op Bobsguide.com stond “PSD2 and Open Banking rush eroding banks’ mobile security measures“, 2 mei 2019. Daarin wordt door cybersecurity experts gewaarschuwd voor PSD2.