Consultatie PSD2 en open finance door Europese Commissie – mogen financiële instellingen en anderen meer en makkelijker financiële persoonsgegevens oogsten?

Europa is bezig met een ambitieus digitaliseringsprogramma, waarvan deel uitmaakt dat men financiële instellingen makkelijker toegang wil geven tot financiële persoonsgegevens. In dat kader vinden momenteel twee consultaties plaats:

  • De consultatie ‘betalingsdiensten – evaluatie van de EU-regels’, gericht op consumenten, waarin vragen worden gesteld over het gebruik van de nieuwe diensten die sinds ‘PSD2’ mogelijk zijn geworden (rekeninginformatiediensten en betaalinitiatiediensten), lees de aankondiging en de pagina met nadere informatie onder meer een pdf waarin de gestelde vragen te vinden zijn. Eerder vond een ‘targeted consultation’ plaats gericht op professionals (aankondiging).
  • De consultatie ‘open finance’, die bekend is gemaakt onder de naam ‘Kader voor een open geldwezen – gegevensuitwisseling en toegang van derden in de financiële sector mogelijk maken’, lees de aankondiging, nadere informatie staat hier, met eveneens een pdf met de gestelde vragen.

Beide consultaties lopen nog tot 2 augustus a.s. Om mee te kunnen doen moet een account worden aangemaakt bij de EU (EU Login, ECAS).

Payment Service Directive 2: strategische blunder?

Beide consultaties zijn een vervolg op wat als PSD2 wordt aangeduid, de tweede Europese betaaldienstenrichtlijn, die kort samengevat het volgende heeft gebracht:

  1. zwaardere authenticatieregels en
  2. toegang van nieuwe ondernemingen tot de bankrekeningen van burgers: rekeninginformatiedienstverleners en betaalinitiatiedienstverleners.

Hoogleraar computerbeveiliging aan de Radboud Universiteit, Bart Jacobs, noemde het PSD2 “een Europese strategische blunder” (artikel iBestuur). Later publiceerde hij met een andere auteur een wetenschappelijke publicatie over de beveiliging.

Bij de rekeninginformatiediensten is door de beleidsmakers volledig vergeten dat in de transactiegegevens van de klant die toestemming geeft ook gegevens van derden zitten, die voor de verwerking van hun gegevens geen toestemming hebben gegeven. Europa is dat welbewust vergeten en besteedt er geen enkele aandacht aan (ik schreef er over, onder meer 1 en 2, 3, 4).

Er zijn ook andere waarschuwende stemmen, zo schreef het Nederlandse Anti Money Laundering Centre (AMLC) in 2017 een artikel waarin werd gewaarschuwd voor de risico’s van PSD2. Lees het interview met de innovatiestrateeg van AFM, Danny Mekić: Effecten van datagebruik op de financiële marktstructuur. Ook in de media was kritiek te horen. Marc Chavannes waarschuwde voor een “fatale kruising van innovatiebelustheid en naïviteit” bij “het openstellen van onze bankgegevens voor iedere datawinkelier“:

 

 

Privacy First startte de site psd2meniet.nl, lees ook hun bericht van januari 2019.
Op dit blog heb ik er de nodige aandacht aan besteed, zie de berichten met de PSD2 tag.

Actualiteit: open finance & open banking

Intussen gaan de ontwikkelingen verder. Er zijn er financiële instellingen die het verdienmodel van de advertentiebedrijven zoals Facebook en Google willen nadoen, lees mijn bericht uit 2019 over de roep om ‘open banking’. In 2020 publiceerde de Nederlandse Vereniging van Banken (NVB) een bericht waaruit blijkt dat zij commerciële mogelijkheden zien in de analyse van de financiële persoonsgegevens van hun klanten. De Duitse vereniging van banken liet in 2022 eerlijk weten dat zij graag toegang tot financiële persoonsgegevens van hun klanten willen, om de strijd met de Amerikaanse internetgiganten beter aan te kunnen gaan.

Intussen kan worden geconstateerd dat buitenlandse aanbieders met een ‘Europees paspoort’ soms scheve schaatsen rijden en dat het paspoortsysteem niet betrouwbaar is.

Europa en Nederland zijn niet klaar voor data delen

Ik zie op dit moment helemaal niets in open finance, in het makkelijker toegankelijk maken van financiële persoonsgegevens voor bedrijven. In Nederland neemt de cybercriminaliteit snel toe, ook rondom nieuwe diensten zoals de ‘Tikkie’. Op dit moment is het toezicht op databescherming al onvoldoende, zowel op Europees niveau als nationaal. Zo worden data graaiende advertentiebedrijven onvoldoende aangepakt. Anders gezegd: Europa is er niet klaar voor (en Nederland ook niet).

Verder ben ik van mening dat er een vergunningensysteem voor alle datahandelaren moet komen, naar het model van het financiële toezicht. Dus met integriteitstoetsing en deskundigheidstoetsing van de leidinggevenden, regelmatige technische controles en dergelijke.

De Europese Commissie houdt zich zelf niet aan de Europese databeschermingsregelgeving, wat aangeeft dat dit onderwerp bij hen niet in goede handen is. Een Europese databeschermingsorganisatie (EuGD Europäische Gesellschaft für Datenschutz mbH) steunt een procedure tegen de Europese Commissie, vanwege het gebruik van Amazon Web Services en de integratie van een Facebook login op de site van de Commissie, lees hierover dit artikel van het advocatenkantoor dat de klager bij staat.

Doe mee aan de consultaties!

Laat weten dat Europa niet klaar is voor nog meer data delen.

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/ ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, rechtsstaat e.d., ICT, privacy, e-commerce en getagged met , , , , , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s