Het betalingslandschap kan flink gaan veranderen, zo blijkt uit het rapport 2021 van het Maatschappelijk Overleg Betalingsverkeer (MOB), een organisatie die geacht wordt op te komen voor de belang van de gebruikers van betalingsdiensten.

De praktijk van PSD2
In het hoofdstuk over Europese ontwikkelingen (pagina 15 en verder) wordt de invoering van de herziene Europese richtlijn betaaldiensten, Richtlijn (EU) 2015/2366, ‘PSD2’, besproken en wordt gesignaleerd dat de markteffecten beperkt zijn. Weliswaar zijn er diverse aanbieders van rekeninginformatie- en/of betaalinitiatiediensten, maar de burgers staan niet te trappelen om er gebruik van te maken:

De eigen betaalgegevens worden door consumenten als privacygevoelig ervaren. DNB-onderzoek ²⁰ laat zien dat mensen terughoudend zijn om hun betaalgegevens met derde partijen te delen. Dat geldt zeker als deze gegevens niet anoniem worden gebruikt. Als consumenten hun gegevens delen, doen zij dat het liefst met hun eigen bank en minder graag met bijvoorbeeld bigtechs, webwinkels en verzekeraars.

²⁰ M. Bijlsma, C. van der Cruijsen and N. Jonker, “Not all data are created equal – Data sharing and privacy”, DNB Working Paper No. 728, november 2021.

Evaluatie PSD2
PSD2 wordt zowel nationaal als Europees geëvalueerd, zo vertelt het MOB in neutrale bewoordingen. Het MOB laat zich er niet over uit of PSD2 (de toegang tot financiële gegevens van klanten) wel in het belang van de burger is.

Een ander element van PSD2, de betere beveiliging van de toegang (sterke klantauthenticatie, ‘strong customer authentication‘ / ‘SCA’), is uiteraard wel in het belang van mensen.

De toekomst: open finance
MOB vermeldt dat in Europa wordt nagedacht over nog meer delen van financiële persoonsgegevens van burgers, onder de noemer van ‘open finance’.
Ook hier is de vraag of dit de belangen van de burgers en het mkb dient. Mijn indruk is dat dit soort initiatieven meer in het belang van grote bedrijven zijn, die persoonsgegevens kunnen oogsten en het datagraaiende bedrijfsmodel van de grote Amerikaanse advertentiebedrijven (Facebook en Google) kunnen na-apen. Dat vind ik geen goede ontwikkeling.

Naar mijn mening zijn Nederland en Europa niet klaar voor open finance, omdat databescherming nu al niet op orde is: de AVG wordt grootschalig overtreden en handhaving vindt onvoldoende plaats, onder meer omdat de toezichthouders (zoals de Nederlandse Autoriteit Persoonsgegevens) over onvoldoende financiële middelen, handhavingsmogelijkheden en personeel beschikken. Verder zit databescherming niet in de ‘genen’ van zowel de Nederlandse als de Europese overheid, zoals uit diverse databeschermingsschandalen kan worden afgeleid. In die zin heb ik gereageerd op de PSD2- en open finance-consultaties van de Europese Commissie.

De Europese Commissie kwam in juli dit jaar in het nieuws vanwege overtreding van de databeschermingsregels, lees onder meer Euractiv, “European Commission sued for violating EU’s data protection rules” en de EuGD, een not-for-profit die de procedure steunt, “EuGD supports data protection lawsuit against European Commission”.

Gegevens van derden worden opnieuw vergeten
De suggestie wordt gewekt dat het bij open finance alleen gaat om het met toestemming van de gebruiker delen van financiële persoonsgegevens, wat de halve waarheid is. Immers, in transactiegegevens zitten niet alleen de gegevens van degene die toestemming heeft gegeven, maar ook van diens wederpartij (de ‘derde’) die van niets weet en geen toestemming heeft gegeven. (Datzelfde probleem is bij PSD2 aan de orde, zie 1, 2, 3, 4, 5.)

Misbruik van verwarring
Wat mij betreft zijn wel nog lang niet toe aan open finance. De databeschermingsvolwassenheid ontbreekt zowel bij overheden als bedrijven. Wat mij betreft wordt gefocust op een veilig en voorspelbaar betalingsverkeer, met streng toezicht op het gebied van databescherming en integriteit.

Die voorspelbaarheid is belangrijk, zoals AMLC al in 2017 signaleerde, omdat digitale verwarring wordt misbruikt door criminelen (nu al grootschalig zichtbaar).

Die voorspelbaarheid komt ook in de consultatiebijdrage van de Europese Banken Federatie (EBF) van 15 juli jl. in de Europese PSD2-consultatie voor professionals aan de orde [*].
EBF constateert dat de sterke klantauthenticatie (‘strong customer authentication‘ / ‘SCA’) van PSD2 nuttig is maar dat criminelen als gevolg van SCA andere wegen hebben ingeslagen, zie onder meer pagina 15 van de bijdrage, waarin wordt gezegd: “PSD2 lacks measures to fight fraud more effectively” en wordt opgemerkt dat het voor klanten lastig is vast te stellen of een aanbieder onder toezicht staat, zie hierna de pagina met markering door mij:

Overigens denk ik dat het opvoeden van klanten, door EBF in een na laatste volzin bepleit, niet voldoende is. Ook betalingsdienstverleners zullen hun gedrag moeten aanpassen en voorspelbaar maken, zodat het makkelijker wordt om fraudeurs te herkennen en te controleren of een aanbieder onder toezicht staat. De overheden zullen daar een bijdrage aan kunnen bieden door veilige manieren om te checken of een betalingsdienstverlener een vergunning heeft. Verder zal rekening moeten worden gehouden met de zeer grote groep digitaal minder vaardige gebruikers van digitale diensten (het is een illusie dat zij door opleiding digitaal vaardiger zullen worden).

Tot slot denk ik dat er gededigitaliseerd moet worden: financiële instellingen dienen weer kantoren te openen en hun klanten fysiek te ontmoeten, om ingewikkelde en onveilige digitale processen te voorkomen.

[*] De bespreking van dit onderdeel houdt geen oordeel in over de rest van de consultatiebijdrage.